[Eisfair] [E64]: BFB: "no host name found for IP address "
Olaf Jaehrling
eisfair at ojaehrling.de
Fr Jan 8 11:33:27 CET 2021
Moin Rolf,
Rolf Bensch schrieb am 08.01.21 um 10:24:
> Hallo Olaf,
>
>
> Am 06.01.21 um 21:21 schrieb Olaf Jaehrling:
>> ...
>
> Debug läuft jetzt. Gestern gab's Attacken von 185.36.81.33, die auch von
> bfb beblockt wurden:
>
> Jan 7 23:07:47 eis64-2 BFB[13887]: address 185.36.81.33 blocked after
> 181 attempt to abuse MAIL
>
> aber warum erst nach 181 Versuchen? Bei einem bfb-Lauf, 10 Sekunden
> vorher, wird nichts erkannt:
Jein, Die 181 Versuche ist die gesamtzahl, die schon versucht wurden,
also im Logfile stehen. Da kann ich auch recht wenig machen, da ich ja
nie weis wie alt oder lang das Leogfile ist. Ich könnte höchstens die
Zahl weglassen um Irritationen zu vermeiden.
>
> mail check
> maillog=/var/log/messages
> Paket mail wird verwendet
> mainlog=/var/spool/exim/log/mainlog
> mainlogdate=2021-01-07 23:0
> mainlogdate2=2021-01-07
> pop3
> end mail check
>
> Die Angriffe waren über den ganzen Tage gestreut mit unterschiedlichen
> Pausen dazwischen:
> ....
> 2021-01-07 20:29:23 no host name found for IP address 185.36.81.33
> 2021-01-07 20:37:41 no host name found for IP address 185.36.81.33
> 2021-01-07 20:57:28 no host name found for IP address 185.36.81.33
> 2021-01-07 21:01:05 no host name found for IP address 185.36.81.33
> 2021-01-07 21:17:16 no host name found for IP address 185.36.81.33
> 2021-01-07 21:32:52 no host name found for IP address 185.36.81.33
> 2021-01-07 21:37:09 no host name found for IP address 185.36.81.33
> 2021-01-07 21:57:03 no host name found for IP address 185.36.81.33
> 2021-01-07 22:04:34 no host name found for IP address 185.36.81.33
> 2021-01-07 22:16:51 no host name found for IP address 185.36.81.33
> 2021-01-07 22:36:21 no host name found for IP address 185.36.81.33
> 2021-01-07 22:36:40 no host name found for IP address 185.36.81.33
> 2021-01-07 22:56:23 no host name found for IP address 185.36.81.33
> 2021-01-07 23:07:40 no host name found for IP address 185.36.81.33
Da kommt es darauf an wie es in der Konfiguration aussieht.
Was zeigt
grep BFB_MONITOR_BOT_ATTACK_ATTEMPTS /etc/config.d/brute_force_blocking
grep 185.36.81.33 /var/spool/exim/log/mainlog |grep 2021-01-08 | wc -l
Erst wenn der 2. Wert größer als der 1. Wert ist blockt bfb.
Ich habe jetzt mal ein paar BFB um ein paar debugeinträge erweitert.
Stelle dir diese Version gleich mal zur Verfügung.
Gruß
Olaf
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair