Archiv

Archiv für Oktober, 2013

Hacker aussperren mit fail2ban

8. Oktober 2013 3 Kommentare

Seid einigen Tagen wird unser Server im Sekundentakt mit Verbindungsanforderungen von permanent wechselnden IP-Adressen traktiert. Botnet at work, würde ich mal sagen. Sieht dann im Log so aus:

Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: lost connection after UNKNOWN from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: disconnect from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[21223]: connect from rrcs-24-106-99-253.central.biz.rr.com[24.106.99.253]
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: warning: hostname customer-187-141-162-172-sta.uninet-ide.com.mx does not resolve to address 187.141.162.172: No address associated with hostname
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: connect from unknown[187.141.162.172]
root@h2145820:# tail /var/log/syslog
Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: lost connection after UNKNOWN from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: disconnect from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[21223]: connect from rrcs-24-106-99-253.central.biz.rr.com[24.106.99.253]
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: warning: hostname customer-187-141-162-172-sta.uninet-ide.com.mx does not resolve to address 187.141.162.172: No address associated with hostname
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: connect from unknown[187.141.162.172]
Oct  8 20:04:17 h2145820 postfix/smtpd[21354]: connect from 85-250-130-223.bb.netvision.net.il[85.250.130.223]
Oct  8 20:04:18 h2145820 postfix/smtpd[20582]: connect from 89-96-53-186.ip10.fastwebnet.it[89.96.53.186]
Oct  8 20:04:18 h2145820 postfix/smtpd[21357]: lost connection after UNKNOWN from unknown[202.126.212.192]
Oct  8 20:04:18 h2145820 postfix/smtpd[21357]: disconnect from unknown[202.126.212.192]
Oct  8 20:04:19 h2145820 postfix/smtpd[21352]: connect from 70-90-111-49-nh.hfc.comcastbusiness.net[70.90.111.49]


Nett, nicht wahr ?  Was tut man dann nun ? Es gibt ja auch noch einige andere Angriffspunkte, wie ssh, den Webserver etc.

Die wichtigsten Massnahmen sind natürlich

  1. ein aktuelles System : Update, Update, Update …
  2. sichere Passwörter

Darüber hinaus gibt es u.a. noch ein leicht einsetzbares Tool, mit dem dynamisch solche Einbruchsversuche erkannt werden und die IP-Adressen des Angreifers dann für einen festzulegenden Zeitraum gesperrt werden können.

fail2ban

Mehr…

KategorienOpen Source, Systemverwaltung Tags: