[Eisfair] BFB blockt dns.eisfair.net, pop3.eisfair.net, smtp.eisfair.net (was brute_force_blocking)

Olaf Jaehrling eisfair at ojaehrling.de
Do Jan 7 13:31:40 CET 2016


Hallo Sebastian,

sorry für Fullqoute ...

Sebastian Ertz schrieb am 07.01.2016 um 09:16:
> Hallo,
>
> ich benutze das Paket "brute_force_blocking" auf meinem Server und bis
> gestern ca. 11:30 hatte ich nie Probleme gehabt.
> Ab diesem Zeitpunkt konnte dyneisfair die IP nicht mehr updaten weil
> in der Datei http://ojaehrling.de/eis/atma.txt die IP Adresse:
> 87.230.23.228 (dns.eisfair.net, pop3.eisfair.net, smtp.eisfair.net)
> somit konnte ich nichts mehr machen. Habe die IP 87.230.23.228 in
> BFB_FREE_IP eingetragen. Aber das half nichts. Erst als ich
> BFB_BLOCK_PROACTIVE_FROM_ATMA auf no gesetzt habe. Konnte erst wieder
> eine Verbindung mit 87.230.23.228 aufgebaut werden.
Hm, das Proaktive-Feature wird von mehreren Stellen "gefüttert".
Einerseits von den Eisfair-Usern, die daran Teilnehmen
(BFB_SEND_ATTACKER_TO_TWITTER), sowie von diversen Twitteraccounts, z.B
ATMA, HoneyPoint, bannedIP usw..
Wenn also einer von diesen Diensten diese IP als kompromittiert
einstuft, dann kommt sie mit auf die Liste.

In diesem Fall war es ein EisFair-Nutzer, der die IP als Attacker
gemeldet hat. Hier mal der Auszug:
BFB-attack detected from 87.230.23.228 to MAIL on 07.01.2016 04:34:10

Ich habe mal das Team angeschrieben, ob die herausfinden können was da
los ist. Zeitgleich habe ich die Adresse aus dem Twitteraccount gelöscht
und wieder freigegeben. Also wenn du jetzt also ein ATMA-Update machst,
sollte alles wieder sauber funktionieren.
>
> Also wie kann ich ATMA nutzen und dauerhaft die IP-Adresse
> 87.230.23.228 erlauben?
>
> Gruß
> Sebastian

Gruß

Olaf

P.S. Bitte nach Möglichkeit in der NG oder Forum Posten. Da sehen dann
alle betroffenen User, dass daran schon gearbeitet wird.


Mehr Informationen über die Mailingliste Eisfair