fail2ban und Blacklist

Dieses Thema im Forum "Server Administration" wurde erstellt von erzhausen, 24. Juli 2014.

  1. erzhausen

    erzhausen New Member

    Hallo,
    mir ist aufgefallen, dass ich seit ein paar Tagen aus China mit wechselnden IP-Adressen, aber aus dem gleichen AdressPool über ssh "gescannt" werde.

    Hier ein Auszug aus meinem fail2ban.log:
    Code:
    2014-07-23 08:20:05,823 fail2ban.actions: WARNING [ssh] Ban 61.174.51.224
    2014-07-23 08:21:12,967 fail2ban.actions: WARNING [ssh] Ban 122.225.103.118
    2014-07-23 08:30:06,693 fail2ban.actions: WARNING [ssh] Unban 61.174.51.224
    2014-07-23 08:31:13,810 fail2ban.actions: WARNING [ssh] Unban 122.225.103.118
    2014-07-23 08:33:06,984 fail2ban.actions: WARNING [ssh] Ban 116.10.191.228
    2014-07-23 08:43:07,789 fail2ban.actions: WARNING [ssh] Unban 116.10.191.228
    2014-07-23 09:03:55,423 fail2ban.actions: WARNING [ssh] Ban 61.174.50.224
    2014-07-23 09:04:34,495 fail2ban.actions: WARNING [ssh] Ban 116.98.11.244
    2014-07-23 09:06:47,696 fail2ban.actions: WARNING [ssh] Ban 116.10.191.164
    2014-07-23 09:09:41,956 fail2ban.actions: WARNING [ssh] Ban 61.174.51.222
    2014-07-23 09:13:56,323 fail2ban.actions: WARNING [ssh] Unban 61.174.50.224
    2014-07-23 09:14:35,390 fail2ban.actions: WARNING [ssh] Unban 116.98.11.244
    2014-07-23 09:16:48,590 fail2ban.actions: WARNING [ssh] Unban 116.10.191.164
    2014-07-23 09:19:42,842 fail2ban.actions: WARNING [ssh] Unban 61.174.51.222
    2014-07-23 09:28:49,543 fail2ban.actions: WARNING [ssh] Ban 116.10.191.213
    2014-07-23 09:38:50,349 fail2ban.actions: WARNING [ssh] Unban 116.10.191.213
    2014-07-23 12:00:33,664 fail2ban.actions: WARNING [ssh] Ban 61.174.51.231
    2014-07-23 12:10:34,500 fail2ban.actions: WARNING [ssh] Unban 61.174.51.231
    2014-07-23 12:32:51,206 fail2ban.actions: WARNING [ssh] Ban 208.69.28.77
    2014-07-23 12:42:52,017 fail2ban.actions: WARNING [ssh] Unban 208.69.28.77
    2014-07-23 21:38:03,160 fail2ban.actions: WARNING [ssh] Ban 91.218.78.120
    2014-07-23 21:48:04,010 fail2ban.actions: WARNING [ssh] Unban 91.218.78.120
    2014-07-23 22:00:15,982 fail2ban.actions: WARNING [ssh] Ban 116.10.191.195
    2014-07-23 22:10:16,836 fail2ban.actions: WARNING [ssh] Unban 116.10.191.195
    2014-07-24 04:07:04,032 fail2ban.actions: WARNING [ssh] Ban 222.163.192.148
    2014-07-24 04:15:26,786 fail2ban.actions: WARNING [ssh] Ban 61.174.51.227
    2014-07-24 04:17:04,967 fail2ban.actions: WARNING [ssh] Unban 222.163.192.148
    2014-07-24 04:25:27,713 fail2ban.actions: WARNING [ssh] Unban 61.174.51.227
    2014-07-24 04:35:36,617 fail2ban.actions: WARNING [ssh] Ban 221.224.18.3
    2014-07-24 04:45:37,535 fail2ban.actions: WARNING [ssh] Unban 221.224.18.3
    2014-07-24 08:49:13,630 fail2ban.actions: WARNING [ssh] Ban 116.10.191.169
    2014-07-24 08:59:14,483 fail2ban.actions: WARNING [ssh] Unban 116.10.191.169
    2014-07-24 09:09:23,313 fail2ban.actions: WARNING [ssh] Ban 116.10.191.196
    2014-07-24 09:19:24,141 fail2ban.actions: WARNING [ssh] Unban 116.10.191.196
    2014-07-24 10:04:38,693 fail2ban.actions: WARNING [ssh] Ban 61.174.50.235
    2014-07-24 10:05:47,806 fail2ban.actions: WARNING [ssh] Ban 61.144.43.235
    2014-07-24 10:14:39,565 fail2ban.actions: WARNING [ssh] Unban 61.174.50.235
    2014-07-24 10:15:48,677 fail2ban.actions: WARNING [ssh] Unban 61.144.43.235
    2014-07-24 10:42:58,856 fail2ban.actions: WARNING [ssh] Ban 61.174.50.216
    2014-07-24 10:52:59,717 fail2ban.actions: WARNING [ssh] Unban 61.174.50.216
    2014-07-24 12:15:42,677 fail2ban.actions: WARNING [ssh] Ban 116.10.191.231
    2014-07-24 12:25:43,522 fail2ban.actions: WARNING [ssh] Unban 116.10.191.231
    2014-07-24 12:57:47,293 fail2ban.actions: WARNING [ssh] Ban 61.174.51.220
    2014-07-24 13:07:48,191 fail2ban.actions: WARNING [ssh] Unban 61.174.51.220
    2014-07-24 13:19:39,269 fail2ban.actions: WARNING [ssh] Ban 61.174.51.196
    2014-07-24 13:29:40,189 fail2ban.actions: WARNING [ssh] Unban 61.174.51.196
    2014-07-24 17:17:24,321 fail2ban.actions: WARNING [ssh] Ban 116.10.191.189
    2014-07-24 17:27:25,167 fail2ban.actions: WARNING [ssh] Unban 116.10.191.189
    2014-07-24 17:55:13,447 fail2ban.actions: WARNING [ssh] Ban 61.174.51.206
    2014-07-24 18:05:14,337 fail2ban.actions: WARNING [ssh] Unban 61.174.51.206
    2014-07-24 19:15:07,201 fail2ban.actions: WARNING [ssh] Ban 61.155.203.56
    2014-07-24 19:25:08,074 fail2ban.actions: WARNING [ssh] Unban 61.155.203.56
    2014-07-24 19:37:33,135 fail2ban.actions: WARNING [ssh] Ban 61.174.50.235
    2014-07-24 19:47:33,999 fail2ban.actions: WARNING [ssh] Unban 61.174.50.235
    2014-07-24 20:05:38,470 fail2ban.actions: WARNING [ssh] Ban 61.174.51.222
    2014-07-24 20:15:39,373 fail2ban.actions: WARNING [ssh] Unban 61.174.51.222
    2014-07-24 20:24:10,164 fail2ban.actions: WARNING [ssh] Ban 61.174.51.211
    2014-07-24 20:34:11,116 fail2ban.actions: WARNING [ssh] Unban 61.174.51.211
    2014-07-24 20:56:24,109 fail2ban.actions: WARNING [ssh] Ban 62.162.44.130
    
    Auffällig ist, dass lt. whois-Abfrage die meisten Attacken aus chinesischen Netzen kommen:
    61.144.43.224 - 61.144.43.239
    61.155.0.0 - 61.155.255.255
    61.174.48.0 - 61.174.55.255
    116.8.0.0 - 116.11.255.255

    Entsprechend dieser Anleitung oder der hier kann man einzelne IP's blacklisten. Da bei mir der/die Angreifer mit ständig wechselnder IP auftreten ist die Pflege der Blacklist-Datei ein größerer Aufwand.

    Laut dieser englischen Anleitung könnte man das auch automatisieren, falls ich den Text richtig verstanden habe. In jedem Fall wird die Blacklist-Datei mit der Zeit riesig werden.
    Meine Frage ist nun:
    Kann man statt der singulären Adresse auch Adress-Bereiche angeben um einen kompletten ISP zu blocken?

    Solange ich mit einem Rechner im Heimnetz experimentiere habe ich vorsorglich die Portweiterleitung für SSH deaktiviert.
    Später auf einem vServer oder Root-Server beim Hoster kann ich das natürlich nicht mehr.

    Grüsse erzhausen
     
  2. Till

    Till Administrator

    Du kannst Die Chinesen auch einfach das root Passwort ausprobieren lassen solange sie wollen und das Blocken wie bisher dem fail2ban überlassen, wenn Du einfach auf Zertifikatsbasierte root Logins umschaltest. Dann könnten sie sich selbst dann nicht einloggen wenn sie das richtige root Passwort hätten, geschweige denn rausfinden was es ist. Nach einiger Zeit geben sie auch wieder auf.
    ansonsten kannst Du mit iptables auch ganze ranges IP blocken, schau mal bei google nach z.B. "iptables drop network range".
     
  3. erzhausen

    erzhausen New Member

    Hallo Till,
    danke für den Tipp, da muss ich mich mal einlesen.

    Grüsse erzhausen
     
  4. wotan2005

    wotan2005 Member

    # einzelne aussperren
    iptables -A INPUT -p ALL -s 192.168.0.22 -j REJECT

    # Sperre des Netzwerks 192.168.0.x
    iptables -I INPUT -s 192.168.0.0/24 -j DROP

    # alle Regeln löschen
    iptables -F

    # alle Ketten löschen
    iptables -X

    IPTABLES DMZ:
    Example rc.DMZ.firewall script
     
  5. erzhausen

    erzhausen New Member

    Danke für die Tipps und den Link.
    Bisher hatte ich mich noch nicht mit iptables beschäftigen müssen, werde mich aber jetzt verstärkt einlesen.

    Ich habe gerade diesen Beitrag gefunden.
    Da ich noch nicht fit mit dem Thema iptables bin, wäre es nett wenn jemand die dort beschriebene Vorgehensweise kommentieren könnte.

    Danke
     
    Zuletzt bearbeitet: 28. Juli 2014
  6. florian030

    florian030 Member

    Das kann man schon so machen. Ich nehme die Listen von blocklist.de und lasse die per Script und cron updaten. Es kann aber passieren, dass man irgendwann vor lauter Blocklisten zu nichts anderem mehr kommt. ;) Mit persönlich sind scans auf port 22 ziemlich egal - da läuft eh nichts.

    Ein paar Listen für die Firewall, fail2ban und was dann noch rauscht ist auch egal.
     
  7. erzhausen

    erzhausen New Member

    Auch dir danke für den Link

    Solange das sich auf Port 22 beschränken würde könnte ich auch damit leben - der ist per Zertifikat gesichert.
    Aber hier kamen auch einige unerwünschte Anfragen auf [postfix-sasl] herein.
    Den Mailserver hatte ich eigentlich nur aufgesetzt um die Systemmeldungen komfortabler lesen zu können (installiert lt. howtoforge-Anleitung).
    Da ich mich, wie schon gesagt, mit meinen Tests momentan nur im Intranet bewege habe ich daraufhin die entsprechende Portweiterleitung im Router vorläufig deaktiviert. Um die Mails zukünftig auch von außerhalb lesen zu können ist mir aber daran gelegen den Server so gut als möglich abzuschotten. Ein forward zu einer externen Mailbox möchte ich nicht einrichten. Aus Zeitgründen bin ich aber bisher noch nicht an die postfix/dovecot Konfiguration gekommen.

    Grüsse erzhausen
     
  8. robotto7831a

    robotto7831a Member

    Bei den Mailservern ist es immer so eine Welle. Alle paar Wochen kommen 24 Stunden alle paar Minuten Anfrage die regelmäßig von fail2ban gesperrt werden. Dann ist wieder ruhe und pro Tag werden nur ganz wenige bis gar keine gesperrt. Ich habe die Sperre von fail2ban auf 24 Stunden eingestellt. Dann werden die wieder entsperrt.
     

Diese Seite empfehlen