uporczywe logowanie

Discussion:

uporczywe logowanie

(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)

LFC

2020-03-31 15:06:30 UTC

Zauważyłem, ze host przedstawiajacy się IP - 92.118.38.82 o nazwie
ip-38-82-ZervDNS uparcie probuje sie wbić na port 25.
Dostaje odmowę dnsbl spamhausa i zanim zniknie "time waiting" w netstat
ponawia próby.
Dorzuciłem mu w pliku acces (sendmail) REJECTA, ale nic to nie zmieniło,
zmienił sie tylko wpis w mailogu z dnsbl-owskiej odmowy na acces denied.
Zarzuciłem regułę w iptables dla tego IP na inpucie REJECTA i NIC!
Dalej puka. Dorzuciłem DROPA i NIC.
Próbowalem po nazwie dopisać regułę, ale iptables się wypina, ze niby
nie znajduje hosta.
Fakt że w maillogu jest may be forged, ale IP to ip. Co jest grane?

LFC

LFC

2020-03-31 17:32:34 UTC

Permalink

Post by LFC
Zauważyłem, ze host przedstawiajacy się IP - 92.118.38.82 o nazwie
ip-38-82-ZervDNS uparcie probuje sie wbić na port 25.
Dostaje odmowę dnsbl spamhausa i zanim zniknie "time waiting" w netstat
ponawia próby.
Dorzuciłem mu w pliku acces (sendmail) REJECTA, ale nic to nie zmieniło,
zmienił sie tylko wpis w mailogu z dnsbl-owskiej odmowy na acces denied.
Zarzuciłem regułę w iptables dla tego IP na inpucie REJECTA i NIC!
Dalej puka. Dorzuciłem DROPA i NIC.
Próbowalem po nazwie dopisać regułę, ale iptables się wypina, ze niby
nie znajduje hosta.
Fakt że w maillogu jest may be forged, ale IP to ip. Co jest grane?

Sorry. Głupota i zapomnienie. Dodawanie łańcucha iptables przez -A,
skoro wcześniej było ACCEPT jest bez sensu. Trzeba było -I, a potem
killall -HUP sendmail i pa,pa.

LFC

KIKI

2020-05-22 19:43:11 UTC

Permalink

Post by LFC
Sorry. Głupota i zapomnienie. Dodawanie łańcucha iptables przez -A,
skoro wcześniej było ACCEPT jest bez sensu. Trzeba było -I, a potem
killall -HUP sendmail i pa,pa.

Czy dalej ci puka ten IP ?

LFC

2020-05-23 09:32:40 UTC

Permalink

Post by KIKI
Czy dalej ci puka ten IP ?

Dopisałem go w regułach iptables dostał REJECT --with-tcp-reset na
INPUT, więc nie może nawiązać połączenia.
Pośledziłem maillog i takie hosty, które pukają szcególnie z
ESPN/MAIL... w logu bardziej nachalnie dostały to samo.
Do tego odpaliłem milter greylist i serwer ma dużo więcej spokoju.
Myśle jeszcze o fail2ban, bo w zasadzie zrobiłem ręcznie to, co on robi,
ale jakoś nie mam na tyle czasu i spokoju w pracy, żeby pogooglać i
poczytać nt konfiguracji.
Zastanawiam, się też, czy nie będzie to za dużo dla maszyny, bo jest to
zwykły dual core E5700, z 4 GB RAM, a ma odpalone serwery pocztowe
dovecota, sendmaila z milterami spamassassina, regexa, clamava i greylista.

LFC

Lemat

2020-05-23 10:22:40 UTC

Permalink

Post by LFC

Post by KIKI
Czy dalej ci puka ten IP ?

zamiast iptables musiałbyś zrobić ipset

dodawanie wpisu:
ipset add spamers 1.2.3.4/5

codzienny zrzut pamięci do pliku:

# cat /etc/cron.daily/ipset
#!/bin/bash
/sbin/ipset save -file /etc/default/spammers.ipset

i konfiguracja iptables:

if [ -f /etc/default/spammers.ipset ];
then
ipset destroy webspamers
ipset destroy spamers
ipset restore -file /etc/default/spammers.ipset
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
80,443 -m set --match-set webspamers src -j DROP
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
fi

--
Pozdrawiam
Lemat

Piotr Lechowicz

2020-05-24 20:43:59 UTC

Permalink

Post by Lemat
ipset add spamers 1.2.3.4/5

A to też jakimś skryptem robisz czy w manualu?

Tak kombinuję, że może po 3 banie dobowym fail2ban by wrzucał dożywotnio w takiego ipseta...

Piotr

Lemat

2020-05-24 23:24:42 UTC

Permalink

Post by Piotr Lechowicz

Post by Lemat
ipset add spamers 1.2.3.4/5

A to też jakimś skryptem robisz czy w manualu?
Tak kombinuję, że może po 3 banie dobowym fail2ban by wrzucał dożywotnio
w takiego ipseta...
Piotr

I fail2banem i manualnie.

--
Pozdrawiam
Lemat

LFC

2020-06-01 12:14:09 UTC

Permalink

Post by Lemat
zamiast iptables musiałbyś zrobić ipset
ipset add spamers 1.2.3.4/5
# cat /etc/cron.daily/ipset
#!/bin/bash
/sbin/ipset save -file /etc/default/spammers.ipset
if [ -f /etc/default/spammers.ipset ];
then
ipset destroy webspamers
ipset destroy spamers
ipset restore -file /etc/default/spammers.ipset
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
80,443 -m set --match-set webspamers src -j DROP
${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
fi

Posłuchałem Twojej rady i odpaliłem IPSET.

W kwestii formalnej, mam 2 pytania, choć domyślam się:

że przy dodawaniu do tablicy kolejnego adresu IP nie trzeba opdalać
ponownie reguły Iptables, bo zostanie on automatycznie uwzględniony w
secie blokującym -Tak?

Ipset nie musi być odpalone w trybie demona, podobnie jak iptables, bo
jego rola polega, podobnie jak iptables, na jednokrotnym odpaleniu reguł
przy starcie?

LFC

Lemat

2020-06-01 13:30:56 UTC

Permalink

Post by LFC

Post by Lemat
zamiast iptables musiałbyś zrobić ipset
ipset add spamers 1.2.3.4/5
# cat /etc/cron.daily/ipset
#!/bin/bash
/sbin/ipset save -file /etc/default/spammers.ipset
        if [ -f /etc/default/spammers.ipset ];
        then
                ipset destroy webspamers
                ipset destroy spamers
                ipset restore -file /etc/default/spammers.ipset
                ${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
80,443 -m set --match-set webspamers src -j DROP
                ${IPTABLES} -A PUB_IN -p tcp -m multiport --dports
25,587,465,110,143,993,995 -m set --match-set spamers src -j DROP
        fi

Posłuchałem Twojej rady i odpaliłem IPSET.
że przy dodawaniu do tablicy kolejnego adresu IP nie trzeba opdalać
ponownie reguły Iptables, bo zostanie on automatycznie uwzględniony w
secie blokującym -Tak?
Ipset nie musi być odpalone w trybie demona, podobnie jak iptables, bo
jego rola polega, podobnie jak iptables, na jednokrotnym odpaleniu reguł
przy starcie?
LFC

2x tak

--
Pozdrawiam
Lemat