Massenhaft Angriffe

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Massenhaft Angriffe

Beitrag von Huck Fin » 04.02.2019 08:58:16

Hi,
ich hatte den Zugriff auf meinen Server bisher mit htpasswd abgesichert.
Ich hatte keine Probleme.
Da ich aber seit neustem Kalender + Kontakte mit dem Smartphone synchronisiere, musste ich das lockern.
Über http ist nur eine dummy-seite erreichbar, weil ich sonst Probleme mit certbot hatte.
Über https ist Horde Webmail + NextCloud erreichbar.
Abgesichert mit Fail2ban.
Jetzt bekomme ich aber täglich eine ganze Menge an Mails von Fail2ban.
Es werden ständig mehr
Ist das normal ???
oder muss ich mir sorgen machen ?
Es wird versucht, Scripte auf meiner dummy-seite auszuführen.

Code: Alles auswählen

target     prot opt source               destination
REJECT     all  --  59.111.58.159        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  58.87.124.178        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  47.75.96.46          anywhere             reject-with icmp-port-unreachable
REJECT     all  --  45.40.192.150        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  193.112.212.143      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  193.112.125.150      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  148.70.57.121        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  148.163.169.72       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  139.217.204.217      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  134.175.64.154       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  134.175.134.150      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  132.232.226.187      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  129.204.32.123       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  125.88.149.200       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  125.64.94.206        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  123.207.140.188      anywhere             reject-with icmp-port-unreachable
REJECT     all  --  120.79.150.214       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  120.27.97.170        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  119.29.238.64        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  119.28.85.203        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  118.24.26.150        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  113.53.29.4          anywhere             reject-with icmp-port-unreachable
REJECT     all  --  105.181.37.106.static.bjtelecom.net  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  132.158.197.104.bc.googleusercontent.com  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: Massenhaft Angriffe

Beitrag von KBDCALLS » 04.02.2019 10:04:52

Das kommt vermutlich aus China. Ich hatte die Tage mal massenhaft Loginversuche über ssh . Port 22 auf der Fritzbox dicht gemacht und das hörte schlagartig auf.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Massenhaft Angriffe

Beitrag von Huck Fin » 04.02.2019 13:10:06

Ja, China...
Die Adresse sollte eigentlich unbekannt sein (???.dnshome.de)
Ich glaube, ich brauche ne andere dnshome adresse...

Gut, ich blocke die gleich für ein Jahr...
Aber seit meinem Post haben sich die Bans verdoppelt.

dirk11
Beiträge: 2812
Registriert: 02.07.2013 11:47:01

Re: Massenhaft Angriffe

Beitrag von dirk11 » 04.02.2019 13:15:39

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.02.2019 13:10:06
Die Adresse sollte eigentlich unbekannt sein (???.dnshome.de)
Damit hat das überhaupt nichts zu tun. Die "scannen" einfach komplette IP-Ranges, und da wo eine Antwort irgendeiner Art kommt, wird halt von einem Bot durchprobiert.

Edit:
Man kann das z.B. über iptables insofern etwas regulieren, in dem man nur eine bestimmte Anzahl von Zugriffen pro Sekunde pro IP zulässt und diese dann temporär z.B. für eine Minute oder so sperrt. Das verhindert zwar nicht alles, aber da wird dann schnell "die Lust verloren". Ein Beispiel aus meinen iptables-Regeln:

Code: Alles auswählen

$IPTABLES -A INPUT ! -i eth0 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A INPUT ! -i eth0 -p icmp --icmp-type echo-request -j DROP
$IPTABLES -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -j DROP
Zuletzt geändert von dirk11 am 04.02.2019 13:19:54, insgesamt 2-mal geändert.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Massenhaft Angriffe

Beitrag von Huck Fin » 04.02.2019 13:18:25

Gut, muss ich scheinbar mit leben...
Danke.

dirk11
Beiträge: 2812
Registriert: 02.07.2013 11:47:01

Re: Massenhaft Angriffe

Beitrag von dirk11 » 04.02.2019 13:19:40

Siehe Edit.

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: Massenhaft Angriffe

Beitrag von KBDCALLS » 04.02.2019 13:22:54

Ich hatte übrigens mal mit einigen IPs whois gefüttert . Und das kam dabei raus.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

ReturnToSender
Beiträge: 123
Registriert: 23.10.2018 18:06:09

Re: Massenhaft Angriffe

Beitrag von ReturnToSender » 04.02.2019 14:06:18

dirk11 hat geschrieben: ↑ zum Beitrag ↑
04.02.2019 13:15:39
.... und diese dann temporär z.B. für eine Minute oder so sperrt.
Wie hast Du das umgesetzt?

Benutzeravatar
schorsch_76
Beiträge: 2535
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Massenhaft Angriffe

Beitrag von schorsch_76 » 04.02.2019 14:13:57

Solche Login Versuche kommen auf Servern eigentlich immer vor. Das kommt auch in Wellen. Wenn du in Munin die Anzahl der "Fail2ban Banned Hosts" anschaust, kann ich das auf dem Server immer gut sehen. Manchmal sind 20 Hosts in der Liste, manchmal keiner. Es ist so ähnlich wie mit Spam Kampagnen ;) .

Ich hab die Bann Time in Fail2Ban auf 1 Tag gesetzt. Das hilft! ;) Die nutzen meist kompromittierte Server welche dann sehr lange brauchen um den nächsten Test durchzuführen. Mit DROP und nicht REJECT bekommt der Angreifer nur Timeouts welche das Script/Programm verlangsamen.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: Massenhaft Angriffe

Beitrag von Huck Fin » 04.02.2019 14:26:47

Werd ich gleich mal testen.
Danke :THX:

Antworten