Leider habe ich heute auf meinem Server unschöne Log-Einträge gefunden.
Diese sehen folgendermaßen aus:
Das setzt sich dann noch 6700 mal so fort.
In Fail2Ban ist folgende Regel erstellt:
So wie ich es verstehe, sollte doch jemand, der innerhalb von 20 Minuten (findtime) 3 mal das falsche Passwort eingibt (maxretry) , für 2 Stunden (bantime) geblockt werden.
Nun hat der gute Mann ja die Benutzernamen ständig gewechselt, aber, wie man auch im Log-Auszug sieht, innerhalb von ca. 20 Sekunden dreimal versucht, sich mit dem user "admin" anzumelden.
Warum wurde er denn nicht geblockt? Stimmt was an meiner Regel nicht?
Fail2Ban läuft, hat aber für den gesamten Zeitraum des Angriffs nichts protokolliert.
Danke für Eure Antworten.
Gruß
fraser
Diese sehen folgendermaßen aus:
Code:
Jan 12 15:32:16 MYSERVER dovecot: pop3-login: Aborted login (1 authentication attempts): user=<admin>, method=PLAIN, rip=83.235.19.12, lip=MYIP
Jan 12 15:32:16 MYSERVER dovecot: pop3-login: Aborted login (1 authentication attempts): user=<root>, method=PLAIN, rip=83.235.19.12, lip=MYIP
Jan 12 15:32:20 MYSERVER last message repeated 2 times
Jan 12 15:32:20 MYSERVER dovecot: pop3-login: Aborted login (1 authentication attempts): user=<admin>, method=PLAIN, rip=83.235.19.12, lip=MYIP
Jan 12 15:32:22 MYSERVER dovecot: pop3-login: Aborted login (1 authentication attempts): user=<root>, method=PLAIN, rip=83.235.19.12, lip=MYIP
Jan 12 15:32:26 MYSERVER last message repeated 2 times
Jan 12 15:32:26 MYSERVER dovecot: pop3-login: Aborted login (1 authentication attempts): user=<webmaster>, method=PLAIN, rip=83.235.19.12, lip=MYIP
Jan 12 15:32:28 MYSERVER dovecot: pop3-login: Aborted login (1 authentication attempts): user=<admin>, method=PLAIN, rip=83.235.19.12, lip=MYIP
In Fail2Ban ist folgende Regel erstellt:
Code:
[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,imap", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 2
findtime = 1200
bantime = 7200
Nun hat der gute Mann ja die Benutzernamen ständig gewechselt, aber, wie man auch im Log-Auszug sieht, innerhalb von ca. 20 Sekunden dreimal versucht, sich mit dem user "admin" anzumelden.
Warum wurde er denn nicht geblockt? Stimmt was an meiner Regel nicht?
Fail2Ban läuft, hat aber für den gesamten Zeitraum des Angriffs nichts protokolliert.
Danke für Eure Antworten.
Gruß
fraser