Score:-2

ตัวกรอง FAIL2BAN - ใครสามารถให้ตัวกรองแก่ฉันเพื่อบล็อกการบุกรุกนี้

ธง vn

ฉันเห็นเมลล็อกการบุกรุกที่ไม่มีที่สิ้นสุดในเซิร์ฟเวอร์ Mediatemple ของฉัน ฉันต้องบล็อก ips เหล่านี้ ใครสามารถช่วยกรองไฟล์ให้ตรงกับสิ่งเหล่านี้ได้บ้าง

21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: ข้อผิดพลาด SSL_accept จากที่ไม่รู้จัก[185.7.214.188]: -1
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: คำเตือน: ปัญหาไลบรารี TLS: ข้อผิดพลาด: 140760FC: รูทีน SSL: SSL23_GET_CLIENT_HELLO: โปรโตคอลที่ไม่รู้จัก: s23_srvr.c:647:
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[185.7.214.188]
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.7.214.188]
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: เชื่อมต่อจากที่ไม่รู้จัก[185.7.214.188]
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: ข้อผิดพลาด SSL_accept จากที่ไม่รู้จัก[185.7.214.188]: -1
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: คำเตือน: ปัญหาไลบรารี TLS: ข้อผิดพลาด: 140760FC: รูทีน SSL: SSL23_GET_CLIENT_HELLO: โปรโตคอลที่ไม่รู้จัก: s23_srvr.c:647:
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[185.7.214.188]
21 มกราคม 07:51:44 mydomain postfix/smtpd[23505]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.7.214.188]
21 ม.ค. 07:52:46 mydomain spamd[19730]: spamd: การเชื่อมต่อจาก mydomain.com [127.0.0.1] ที่พอร์ต 35360
21 ม.ค. 07:52:46 mydomain spamd[19728]: prefork: สถานะลูก: ฉัน
21 มกราคม 07:54:05 mydomain postfix/smtpd[23549]: คำเตือน: ชื่อโฮสต์ zg-0104b-34.stretchoid.com ไม่สามารถแก้ไขที่อยู่ 192.241.208.40
21 มกราคม 07:54:05 mydomain postfix/smtpd[23549]: เชื่อมต่อจากที่ไม่รู้จัก[192.241.208.40]
21 มกราคม 07:54:05 mydomain postfix/smtpd[23549]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[192.241.208.40]
21 มกราคม 07:57:25 mydomain postfix/anvil[23507]: สถิติ: อัตราการเชื่อมต่อสูงสุด 2/60 วินาที สำหรับ (submission:185.7.214.188) เมื่อวันที่ 21 มกราคม 07:51:44 น.
21 มกราคม 07:57:25 mydomain postfix/anvil[23507]: สถิติ: การเชื่อมต่อสูงสุดนับ 1 สำหรับ (submission:185.7.214.188) เมื่อวันที่ 21 มกราคม 07:51:43 น.
21 มกราคม 07:57:25 mydomain postfix/anvil[23507]: สถิติ: ขนาดแคชสูงสุด 1 ณ วันที่ 21 มกราคม 07:51:43 น.
21 มกราคม 07:57:46 น. mydomain spamd[19730]: spamd: การเชื่อมต่อจาก mydomain.com [127.0.0.1] ที่พอร์ต 53520
21 ม.ค. 07:57:46 mydomain spamd[19728]: prefork: child สถานะ: I
21 มกราคม 08:01:40 mydomain postfix/smtpd[23649]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:40 mydomain postfix/smtpd[23649]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:45 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:45 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:45 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:45 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:46 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:46 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:46 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:46 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:47 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:48 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก UNKNOWN จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:48 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:48 mydomain postfix/smtpd[23649]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:48 mydomain postfix/smtpd[23649]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:48 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:48 mydomain postfix/smtpd[23652]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 ม.ค. 08:01:48 mydomain postfix/smtpd[23652]: ข้อผิดพลาด SSL_accept จากที่ไม่รู้จัก[185.181.102.18]: -1
21 ม.ค. 08:01:48 mydomain postfix/smtpd[23652]: คำเตือน: ปัญหาไลบรารี TLS: ข้อผิดพลาด: 140760FC: รูทีน SSL: SSL23_GET_CLIENT_HELLO: โปรโตคอลที่ไม่รู้จัก: s23_srvr.c:647:
21 ม.ค. 08:01:48 mydomain postfix/smtpd[23652]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:48 mydomain postfix/smtpd[23652]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:48 mydomain postfix/smtpd[23649]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18
21 มกราคม 08:01:48 mydomain postfix/smtpd[23649]: เชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:49 mydomain postfix/smtpd[23649]: ข้อผิดพลาด SSL_accept จากที่ไม่รู้จัก[185.181.102.18]: -1
21 มกราคม 08:01:49 mydomain postfix/smtpd[23649]: คำเตือน: ปัญหาไลบรารี TLS: ข้อผิดพลาด: 140760FC: รูทีน SSL: SSL23_GET_CLIENT_HELLO: โปรโตคอลที่ไม่รู้จัก: s23_srvr.c:647:
21 มกราคม 08:01:49 mydomain postfix/smtpd[23649]: ขาดการเชื่อมต่อหลังจาก STARTTLS จากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:49 mydomain postfix/smtpd[23649]: ตัดการเชื่อมต่อจากที่ไม่รู้จัก[185.181.102.18]
21 มกราคม 08:01:49 mydomain postfix/smtpd[23652]: คำเตือน: ชื่อโฮสต์ Turtle.census.shodan.io ไม่สามารถแก้ไขที่อยู่ 185.181.102.18

ฉันมี postfix-sasl - ฉันจะแก้ไขอย่างไรให้พอดีกับข้อผิดพลาดในการเชื่อมต่อเหล่านี้

djdomi avatar
za flag
postfix และ postfix sasl ถูกใช้งานโดยค่าเริ่มต้น เราคำถามนี้เกี่ยวข้องกับธุรกิจหรือไม่ เพราะดูเหมือนเป็นคำถามของผู้ใช้ปลายทาง
alex K avatar
vn flag
ฉันเพิ่งเริ่มต้นอินสแตนซ์ amazon light sail เมื่อเดือนที่แล้ว ฉันเห็นการบุกรุกมากมายใน syslog ฉันต้องการทราบว่าพวกเขารู้ที่อยู่ IP ของฉันอย่างรวดเร็วเพื่อโจมตีเซิร์ฟเวอร์ของฉันได้อย่างไร
djdomi avatar
za flag
ยินดีต้อนรับคุณสู่อินเทอร์เน็ต เคยได้ยินจากการสแกนพอร์ตหรือไม่? วันนี้คุณสามารถสแกนอินเทอร์เน็ตทั้งหมดได้ภายในไม่กี่นาที คุณคิดว่า ip ของคุณเป็นความลับหรือไม่?
Score:0
ธง il

ประการแรก นี่ไม่ใช่การบุกรุกโดยตรง - ดูเหมือนการสแกนพอร์ตที่ง่ายที่สุด... และยกเว้นพอร์ตน้ำท่วม (postfix) และอาจเป็นการประกาศของแอพหรือมากกว่าพอร์ตที่เซิร์ฟเวอร์ของคุณฟังด้านสแกนเนอร์) คุณจะ ไม่มีปัญหากับสิ่งนั้น
คุณสามารถแบนได้อย่างแน่นอน แต่คุณต้องรู้ว่าคุณทำอะไร (เช่น เพื่อหลีกเลี่ยงผลบวกปลอมสำหรับผู้ใช้ที่ชอบด้วยกฎหมายของคุณ เช่น หากการเชื่อมต่อช้าของใครบางคนจะทำให้เกิดข้อความเดียวกัน)...

หากต้องการห้ามน้ำท่วมนี้ในฝั่ง postfix เท่านั้น คุณสามารถเพิ่มคุกนี้:

[postfix-scan]
ตัวกรอง =
failregex = ^\s*\S+ postfix/smtpd\[[^\]]+\]: ขาดการเชื่อมต่อหลังจาก (?:STARTTLS|UNKNOWN) จาก [^\[]*\[<ADDR>\]
พอร์ต = smtp,465,การส่ง
... (logpath, แบ็กเอนด์, maxretry, findtime ฯลฯ ) ...
เปิดใช้งาน = จริง

(เหมือนที่บอกไปแล้วว่าในทางทฤษฎีคุณสามารถแบนผู้ใช้ที่ถูกกฎหมายได้ ดังนั้นบางทีคุณควรเพิ่ม สูงสุด และลดลง หาเวลา สำหรับคุกนี้)

หากต้องการแบนการสแกนพอร์ต คุณสามารถเพิ่มกฎตัวกรองเน็ตบางอย่างได้ เช่น การบันทึก (และอาจทิ้ง) การเชื่อมต่อที่ส่งแพ็กเก็ต SYN ไปยังพอร์ตจำนวนมาก (โดยมีการระเบิดบางแพ็กเก็ต) หรือแม้กระทั่งในบางแพ็กเก็ตไปยังบางพอร์ตที่ปิด
จากนั้นคุณสามารถแบนพวกเขาเพิ่มเติมโดยใช้บางอย่างเช่น - https://github.com/fail2ban/fail2ban/issues/1945

alex K avatar
vn flag
ขอบคุณสำหรับความคิดเห็น คุณบอกฉันได้ไหมว่าพวกเขาพบ ip ของฉันได้อย่างไร ฉันเพิ่งเริ่มอินสแตนซ์เมื่อสัปดาห์ที่แล้วใน amazon lightsail พวก SSL นี้ให้ที่อยู่ IP หรือ Postfix หรือ Plesk ของฉันหรือไม่
alex K avatar
vn flag
ที่ที่ฉันสามารถค้นหาตัวกรองการทำงานสำหรับปัญหาต่างๆ แทนที่จะใช้เวลามากมายกับ regex

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา