[Eisfair] Mailserver Angriffe <> bfb

Fr Feb 7 12:56:49 CET 2025

Hallo Olaf,

Am 06.02.25 um 23:39 schrieb Olaf Jaehrling:
>> Hmm, sollte ich da wirklich alle IPs aufnehmen, die da gelistet werden? Das sind mehrere hundert die teilweise auch in deutsche Netze aufgelöst werden.
> 
> Naja, Das ist eine Entscheidung die du für dich treffen musst. Du könntest das script ja auch anpassen, so dass die IPs jeweils nur eine bestimmte Zeit geblockt werden.
> Das Script läuft aber autark, ohne BFB und in eine andere Chain.

würde das etwa so funktionieren? (sind meine ersten Gehversuche mit nft)

    /usr/sbin/nft add set ip filter BOESEIPS {type ipv4_addr \; flags timeout \; elements={$ip timeout 30M}}

... um für 30 Minuten zu blockieren?

>>>> Heute 00:00 - 11_50 Uhr ca 8500 Angriffe mit ständig wechselnden IPs.
>>>>
>>>> BFB scheint hier an eine Kapazitätsgrenze zu stoßen:
>>>> Feb  4 10:30:13 eis64-3 initfile[31156]: cat: /brute_force_blocking/atackingips: No space left on device
>>>> Feb  4 10:30:13 eis64-3 initfile[31217]: cat: 
> 
>> tmpfs           516054     29  516025    1% /brute_force_blocking
>> tmpfs           103210     23  103187    1% /run/user/2022
>> tmpfs           103210     17  103193    1% /run/user/0
> 
>>>>
>>>> Feb 04 11:17:36 eis64-3 initfile[14000]: connect: Connection refused
>>>> Feb 04 11:17:36 eis64-3 BFB[14067]: address 5.164.185.13 blocked after 3 attempt to abuse MAIL
>>>> Feb 04 11:18:08 eis64-3 initfile[26771]: connect: Connection refused
>>>> Feb 04 11:18:08 eis64-3 BFB[26837]: address 96.79.249.93 blocked after 3 attempt to abuse MAIL
>>>> Feb 04 11:31:10 eis64-3 initfile[9812]: connect: Connection refused
>>>> Feb 04 11:31:29 eis64-3 initfile[13318]: connect: Connection refused
>>>> Feb 04 11:31:48 eis64-3 initfile[17432]: connect: Connection refused
>>>> Feb 04 11:32:25 eis64-3 initfile[28020]: connect: Connection refused
>>>> Feb 04 11:39:53 eis64-3 initfile[16142]: connect: Connection refused
>>>
>>> Das ist schon sehr komisch.
>>
>> Was ist denn da komisch? "Connection refused"?
> 
> Ja, genau das. Welche Connection wird refused und warum? BFB stellt doch keine Verbindung irgendwohin her. Und dann das "no space left on device" obwohl genug da ist.

Das Problem habe (mal wieder) nur ich?

> andererseits ... es ist ja ein RAM-Laufwerk. Es könnte also auch ein Hardwarefehler sein.

Auf 2 virtuellen Maschinen auf unterschiedlichen Hosts?

> Schalte mal bitte BFB_USE_RAMDISK=no und starte BFB neu. Schau mal mal was dann passiert.

Habe ich soeben gemacht und werde berichten.

B.t.w.: der Server1, der Auslöser für diesen Thread war, wird seit dem DSL-Reset durch die DTAG nicht mehr angegriffen (sehr eigenartig). Jedoch fährt auf Server2 aktuell eine Angriffswelle hoch. Für Tests bleibt das sicherlich brauchbar.

Grüße

Rolf