înregistrare Logare
Puncte:-2
alex K avatar Server

Filtre FAIL2BAN- cine îmi poate oferi un filtru pentru a bloca această intruziune?

drapel vn
alex K

Văd în serverul meu mediatemple jurnalul de corespondență o intruziune nesfârșită. trebuie să blochez aceste ips. cine poate ajuta cu fișierul de filtrare pentru a le potrivi?

21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: eroare SSL_accept de la necunoscut[185.7.214.188]: -1
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: avertisment: problemă cu biblioteca TLS: eroare:140760FC:Rutine SSL:SSL23_GET_CLIENT_HELLO:protocol necunoscut:s23_srvr.c:647:
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: conexiune pierdută după STARTTLS de la necunoscut[185.7.214.188]
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: deconectare de la necunoscut[185.7.214.188]
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: conectați de la necunoscut[185.7.214.188]
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: eroare SSL_accept de la necunoscut[185.7.214.188]: -1
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: avertisment: problemă cu biblioteca TLS: eroare:140760FC:Rutine SSL:SSL23_GET_CLIENT_HELLO:protocol necunoscut:s23_srvr.c:647:
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: conexiune pierdută după STARTTLS de la necunoscut[185.7.214.188]
21 ianuarie 07:51:44 mydomain postfix/smtpd[23505]: deconectare de la necunoscut[185.7.214.188]
21 ianuarie 07:52:46 mydomain spamd[19730]: spamd: conexiune de la mydomain.com [127.0.0.1] la portul 35360
21 ianuarie 07:52:46 mydomain spamd[19728]: prefork: child states: I
21 ianuarie 07:54:05 mydomain postfix/smtpd[23549]: avertisment: numele gazdă zg-0104b-34.stretchoid.com nu se rezolvă la adresa 192.241.208.40
21 ianuarie 07:54:05 mydomain postfix/smtpd[23549]: conectați de la necunoscut[192.241.208.40]
21 ian 07:54:05 mydomain postfix/smtpd[23549]: deconectare de la necunoscut[192.241.208.40]
21 ianuarie 07:57:25 mydomain postfix/anvil[23507]: statistici: rata maximă de conectare 2/60s pentru (trimitere:185.7.214.188) la 21 ianuarie 07:51:44
21 ianuarie 07:57:25 mydomain postfix/anvil[23507]: statistici: număr maxim de conexiuni 1 pentru (trimitere:185.7.214.188) la 21 ianuarie 07:51:43
21 ianuarie 07:57:25 mydomain postfix/anvil[23507]: statistici: dimensiunea cache maximă 1 la 21 ianuarie 07:51:43
21 ianuarie 07:57:46 mydomain spamd[19730]: spamd: conexiune de la mydomain.com [127.0.0.1] la portul 53520
21 ianuarie 07:57:46 mydomain spamd[19728]: prefork: child states: I
21 ianuarie 08:01:40 mydomain postfix/smtpd[23649]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:40 mydomain postfix/smtpd[23649]: conectați de la necunoscut[185.181.102.18]
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:45 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:45 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:45 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:45 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:46 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:47 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ian 08:01:47 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:47 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ian 08:01:47 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:47 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ian 08:01:47 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:47 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ian 08:01:48 mydomain postfix/smtpd[23652]: conexiune pierdută după NECUNOSCUT de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23649]: conexiune pierdută după STARTTLS de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23649]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: conectați de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: eroare SSL_accept de la necunoscut[185.181.102.18]: -1
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: avertisment: problemă cu biblioteca TLS: eroare:140760FC:Rutine SSL:SSL23_GET_CLIENT_HELLO:protocol necunoscut:s23_srvr.c:647:
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: conexiune pierdută după STARTTLS de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23652]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:48 mydomain postfix/smtpd[23649]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18
21 ianuarie 08:01:48 mydomain postfix/smtpd[23649]: conectați de la necunoscut[185.181.102.18]
21 ianuarie 08:01:49 mydomain postfix/smtpd[23649]: eroare SSL_accept de la necunoscut[185.181.102.18]: -1
21 ianuarie 08:01:49 mydomain postfix/smtpd[23649]: avertisment: problemă cu biblioteca TLS: eroare:140760FC:Rutine SSL:SSL23_GET_CLIENT_HELLO:protocol necunoscut:s23_srvr.c:647:
21 ianuarie 08:01:49 mydomain postfix/smtpd[23649]: conexiune pierdută după STARTTLS de la necunoscut[185.181.102.18]
21 ian 08:01:49 mydomain postfix/smtpd[23649]: deconectare de la necunoscut[185.181.102.18]
21 ianuarie 08:01:49 mydomain postfix/smtpd[23652]: avertisment: numele gazdă turtle.census.shodan.io nu se rezolvă la adresa 185.181.102.18

Am postfix-sasl - cum îl modific pentru a se potrivi acestor erori de conectare.

96
0 + 0
djdomi avatar
drapel za
djdomi
postfix și postfix sasl sunt implementate implicit. ne această întrebare legată de afaceri? deoarece ut arată ca o întrebare pentru utilizatorul final
0
Răspunde
alex K avatar
drapel vn
alex K
Tocmai am început o instanță Amazon Light Sail acum lună. Văd deja o mulțime de intruziuni în syslog. Vreau să știu cum îmi știu adresa IP atât de repede să-mi atace serverul?
0
Răspunde
djdomi avatar
drapel za
djdomi
te urez bun venit pe internet. ai auzit vreodată de la scanări de porturi? În aceste zile, puteți scana întregul internet în câteva minute. crezi că ip-ul tău este secret?
0
Răspunde
Puncte:0
sebres avatar Server
drapel il
sebres

În primul rând, aceasta nu este o intruziune directă - aceasta arată ca cea mai simplă scanare de porturi... Și cu excepția anumitor inundații pe porturi (postfix) și, probabil, un anunț despre aplicații sau mai degrabă porturile serverului dvs. care ascultă partea scanerelor), ați nu ai probleme cu asta.
Cu siguranță le puteți interzice, dar trebuie să știți ce faceți (de exemplu, pentru a evita falsele pozitive pentru unii utilizatori legitimi ai dvs., de exemplu dacă o conexiune lentă a cuiva ar provoca aceleași mesaje)...

Pentru a interzice exact această inundație numai pe partea postfix, puteți adăuga această închisoare:

[postfix-scanare]
filtru =
failregex = ^\s*\S+ postfix/smtpd\[[^\]]+\]: conexiune pierdută după (?:STARTTLS|NECUNOSCUT) de la [^\[]*\[<ADDR>\]
port = smtp,465,submission
... (logpath, backend, maxretry, findtime etc) ...
activat = adevărat

(Așa cum am spus deja, teoretic ați putea interzice un utilizator legitim cu asta, așa că poate ar trebui să creșteți maxretry si scade găsește timp pentru această închisoare)

Pentru a interzice cardinal scanarea portului, ați putea adăuga câteva reguli de filtru de rețea, de exemplu, înregistrarea (și probabil eliminarea) conexiunilor care trimit pachete SYN către multe porturi (cu unele explozii) sau chiar pe unele pachete către unele porturi închise.
Și apoi puteți chiar să le interziceți folosind ceva de genul - https://github.com/fail2ban/fail2ban/issues/1945

0 + 0
alex K avatar
drapel vn
alex K
Multumesc pentru comentariu. Îmi puteți spune cum mi-au găsit ip-ul. Tocmai am început exemplul acum o săptămână în Amazon Lightsail. Acest SSL îmi dau adresa IP sau Postfix sau Plesk?
0
Răspunde
alex K avatar
drapel vn
alex K
De asemenea, unde pot găsi filtre de lucru pentru diverse probleme. În loc să petrec mult timp pe regex.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.