Регистрация Войти
Рейтинг:-2
alex K avatar Server

Фильтры FAIL2BAN - кто может дать мне фильтр, чтобы заблокировать это вторжение?

флаг vn
alex K

Я вижу в своем почтовом журнале сервера mediatemple бесконечное вторжение. мне нужно заблокировать эти ips. кто может помочь с файлом фильтра, чтобы соответствовать этим?

21 января 07:51:44 mydomain postfix/smtpd[23505]: ошибка SSL_accept от неизвестного[185.7.214.188]: -1
21 января 07:51:44 mydomain postfix/smtpd[23505]: предупреждение: проблема с библиотекой TLS: ошибка: 140760FC: подпрограммы SSL: SSL23_GET_CLIENT_HELLO: неизвестный протокол: s23_srvr.c:647:
21 января 07:51:44 mydomain postfix/smtpd[23505]: потеря соединения после STARTTLS от неизвестного[185.7.214.188]
21 января 07:51:44 mydomain postfix/smtpd[23505]: отключиться от неизвестного[185.7.214.188]
21 января 07:51:44 mydomain postfix/smtpd[23505]: подключение от неизвестного [185.7.214.188]
21 января 07:51:44 mydomain postfix/smtpd[23505]: ошибка SSL_accept от неизвестного[185.7.214.188]: -1
21 января 07:51:44 mydomain postfix/smtpd[23505]: предупреждение: проблема с библиотекой TLS: ошибка: 140760FC: подпрограммы SSL: SSL23_GET_CLIENT_HELLO: неизвестный протокол: s23_srvr.c:647:
21 января 07:51:44 mydomain postfix/smtpd[23505]: потеря соединения после STARTTLS от неизвестного[185.7.214.188]
21 января 07:51:44 mydomain postfix/smtpd[23505]: отключиться от неизвестного[185.7.214.188]
21 января 07:52:46 mydomain spamd[19730]: spamd: соединение с mydomain.com [127.0.0.1] через порт 35360
21 января 07:52:46 mydomain spamd[19728]: prefork: дочерние состояния: I
21 января 07:54:05 mydomain postfix/smtpd[23549]: предупреждение: имя хоста zg-0104b-34.stretchoid.com не разрешается в адрес 192.241.208.40
21 января 07:54:05 mydomain postfix/smtpd[23549]: подключиться от неизвестного[192.241.208.40]
21 января 07:54:05 mydomain postfix/smtpd[23549]: отключиться от неизвестного[192.241.208.40]
21 января 07:57:25 mydomain postfix/anvil[23507]: статистика: максимальная скорость соединения 2/60 с для (представление: 185.7.214.188) на 21 января 07:51:44
21 января 07:57:25 mydomain postfix/anvil[23507]: статистика: максимальное количество подключений 1 для (представление:185.7.214.188) на 21 января 07:51:43
21 января 07:57:25 mydomain postfix/anvil[23507]: статистика: максимальный размер кеша 1 на 21 января 07:51:43
21 января 07:57:46 mydomain spamd[19730]: spamd: соединение с mydomain.com [127.0.0.1] через порт 53520
21 января 07:57:46 mydomain spamd[19728]: prefork: дочерние состояния: I
21 января 08:01:40 mydomain postfix/smtpd[23649]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:40 mydomain postfix/smtpd[23649]: подключиться от неизвестного[185.181.102.18]
21 января 08:01:45 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:45 mydomain postfix/smtpd[23652]: подключение от неизвестного [185.181.102.18]
21 января, 08:01:45 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:45 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:45 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:45 mydomain postfix/smtpd[23652]: подключение от неизвестного [185.181.102.18]
21 января, 08:01:45 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:45 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:45 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:45 mydomain postfix/smtpd[23652]: подключение от неизвестного [185.181.102.18]
21 января, 08:01:45 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:45 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:46 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:46 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:46 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:46 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:46 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:46 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:46 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:46 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:46 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:46 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:46 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:46 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:47 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:47 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:47 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:47 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:47 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:47 mydomain postfix/smtpd[23652]: потеря соединения после НЕИЗВЕСТНО от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:47 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:47 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:48 mydomain postfix/smtpd[23652]: потеря соединения после UNKNOWN from unknown[185.181.102.18]
21 января 08:01:48 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января, 08:01:48 mydomain postfix/smtpd[23649]: потеря соединения после STARTTLS от неизвестного [185.181.102.18]
21 января 08:01:48 mydomain postfix/smtpd[23649]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:48 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:48 mydomain postfix/smtpd[23652]: подключиться от неизвестного[185.181.102.18]
21 января, 08:01:48 mydomain postfix/smtpd[23652]: ошибка SSL_accept от неизвестного [185.181.102.18]: -1
21 января 08:01:48 постфикс моего домена / smtpd [23652]: предупреждение: проблема с библиотекой TLS: ошибка: 140760FC: подпрограммы SSL: SSL23_GET_CLIENT_HELLO: неизвестный протокол: s23_srvr.c: 647:
21 января, 08:01:48 mydomain postfix/smtpd[23652]: потеря соединения после STARTTLS от неизвестного[185.181.102.18]
21 января 08:01:48 mydomain postfix/smtpd[23652]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:48 mydomain postfix/smtpd[23649]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18
21 января 08:01:48 mydomain postfix/smtpd[23649]: подключиться от неизвестного[185.181.102.18]
21 января 08:01:49 mydomain postfix/smtpd[23649]: ошибка SSL_accept от неизвестного[185.181.102.18]: -1
21 января 08:01:49 mydomain postfix/smtpd[23649]: предупреждение: проблема с библиотекой TLS: ошибка: 140760FC: подпрограммы SSL: SSL23_GET_CLIENT_HELLO: неизвестный протокол: s23_srvr.c:647:
21 января 08:01:49 mydomain postfix/smtpd[23649]: потеря соединения после STARTTLS от неизвестного[185.181.102.18]
21 января 08:01:49 mydomain postfix/smtpd[23649]: отключиться от неизвестного[185.181.102.18]
21 января 08:01:49 mydomain postfix/smtpd[23652]: предупреждение: имя хоста черепаха.census.shodan.io не разрешается в адрес 185.181.102.18

У меня есть postfix-sasl - как мне изменить его, чтобы он соответствовал этим ошибкам подключения.

96
0 + 0
djdomi avatar
флаг za
djdomi
postfix и postfix sasl реализованы по умолчанию. нам этот вопрос связан с бизнесом? потому что это похоже на вопрос конечного пользователя
0
Ответить
alex K avatar
флаг vn
alex K
Я только что запустил экземпляр Amazon Light Sail месяц назад. Я уже вижу много вторжений в системный журнал. Я хочу знать, откуда они знают мой IP-адрес, чтобы быстро атаковать мой сервер?
0
Ответить
djdomi avatar
флаг za
djdomi
приветствую вас в Интернете. когда-нибудь слышал от сканирования портов? В наши дни вы можете просмотреть весь Интернет за пару минут. Вы думаете, что ваш IP является секретом?
0
Ответить
Рейтинг:0
sebres avatar Server
флаг il
sebres

Во-первых, это не вторжение напрямую - это похоже на простейшее сканирование портов... И, кроме определенного флуда на (постфиксных) портах, и, возможно, анонса приложений, а точнее портов, которые ваш сервер слушает на стороне сканеров), вы бы с этим проблем нет.
Вы, конечно, можете запретить их, но вы должны знать, что вы делаете (например, чтобы избежать ложных срабатываний для некоторых законных пользователей из вас, например, если медленное соединение кого-то вызовет те же сообщения)...

Чтобы запретить именно этот флуд только на стороне постфикса, вы можете добавить этот джейл:

[постфиксное сканирование]
фильтр =
failregex = ^\s*\S+ postfix/smtpd\[[^\]]+\]: потеря соединения после (?:STARTTLS|UNKNOWN) из [^\[]*\[<ADDR>\]
порт = smtp, 465, отправка
... (logpath, backend, maxretry, findtime и т. д.) ...
включено = верно

(как уже было сказано, вы теоретически можете забанить некоторых законных пользователей, так что, возможно, вам следует увеличить максретри и уменьшить найти время для этой тюрьмы)

Чтобы кардинально запретить сканирование портов, вы можете добавить некоторые правила сетевого фильтра, например, регистрировать (и, возможно, отбрасывать) соединения, отправляющие пакеты SYN на многие порты (с некоторым всплеском) или даже некоторые пакеты на некоторые закрытые порты.
И тогда вы можете даже дополнительно забанить их, используя что-то вроде - https://github.com/fail2ban/fail2ban/issues/1945

0 + 0
alex K avatar
флаг vn
alex K
Спасибо за комментарий. Скажите, как они узнали мой ip? Я только что запустил экземпляр неделю назад в Amazon Lightsail. Это ребята из SSL выдают мой IP-адрес, Postfix или Plesk?
0
Ответить
alex K avatar
флаг vn
alex K
Также, где я могу найти РАБОЧИЕ фильтры для различных проблем. Вместо того, чтобы тратить много времени на регулярное выражение.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.