Hallo liebe Leute,
ich habe glaube ich grad nen Knoten im Kopf und brauche mal eure Hilfe...
Ich habe einen Ubunutu Server mit Plesk drauf.
Mein Mailserver ist qmail und mein MTA ist postfix.
Nun leide ich seit einigen Tagen unter "brute force" welches sich so äußert:
sudo tail -f -n100 /var/log/mail.log
so daher habe ich gedacht.. ziehste mal schnell fail2ban drauf.. gesagt getan..
habe dann postfix aktiviert zum Schützen im jail.conf von fail2ban.. zack, fail2ban gerestartet und gefreut... kurz... leider passierte genau nichts..
die attacke nimmt weiter seinen lauf und fail2ban schaut nur zu..
nach etwas recherche fiel mir dann auf, dass die postfix Einstellung folgende regexp zum Bannen konfiguriert hat:
Das deckt sich aber gar nicht mit meinen log Meldungen(daher denke ich, dass das das problem ist)... ich kriege es einfach nicht hin ein regex auf meine log zuzuschneiden. Könnt ihr mir helfen? <HOST> ist dabei die IP/Host die an fail2ban übergeben wird..
ich finde auch bei google nix.. dabei bin ich doch nicht der einzige mit dem Problem? ich glaube die Person hatte das gleiche Problem wie ich http://stackoverflow.com/questions/3...-for-smtp-auth
Bitte sagt mir ob ich generell auf dem Holzweg bin und/oder wie die richtige Regexp für mein log ist.. vielen Dank!
ich habe glaube ich grad nen Knoten im Kopf und brauche mal eure Hilfe...
Ich habe einen Ubunutu Server mit Plesk drauf.
Mein Mailserver ist qmail und mein MTA ist postfix.
Nun leide ich seit einigen Tagen unter "brute force" welches sich so äußert:
sudo tail -f -n100 /var/log/mail.log
Code:
Feb 3 23:27:45 **zensiert** /var/qmail/bin/relaylock[15852]: /var/qmail/bin/relaylock: mail from 123.214.23.189:3896 (not defined) Feb 3 23:27:49 **zensiert** smtp_auth: SMTP connect from unknown [123.214.23.189] Feb 3 23:27:49 **zensiert** smtp_auth: FAILED: support - password incorrect from (null) [123.214.23.189] Feb 3 23:27:49 **zensiert** /var/qmail/bin/relaylock[15854]: /var/qmail/bin/relaylock: mail from 123.214.23.189:1031 (not defined) Feb 3 23:27:53 **zensiert** smtp_auth: SMTP connect from unknown [123.214.23.189] Feb 3 23:27:53 **zensiert** smtp_auth: FAILED: tester - password incorrect from (null) [123.214.23.189] Feb 3 23:27:54 **zensiert** /var/qmail/bin/relaylock[15856]: /var/qmail/bin/relaylock: mail from 123.214.23.189:3539 (not defined) Feb 3 23:27:57 **zensiert** smtp_auth: SMTP connect from unknown [123.214.23.189] Feb 3 23:27:57 **zensiert** smtp_auth: FAILED: info - password incorrect from (null) [123.214.23.189] Feb 3 23:27:58 **zensiert** /var/qmail/bin/relaylock[15858]: /var/qmail/bin/relaylock: mail from 123.214.23.189:2051 (not defined) Feb 3 23:28:02 **zensiert** smtp_auth: SMTP connect from unknown [123.214.23.189] Feb 3 23:28:02 **zensiert** smtp_auth: FAILED: alex - password incorrect from (null) [123.214.23.189] Feb 3 23:28:02 **zensiert** /var/qmail/bin/relaylock[15860]: /var/qmail/bin/relaylock: mail from 123.214.23.189:1594 (not defined)
habe dann postfix aktiviert zum Schützen im jail.conf von fail2ban.. zack, fail2ban gerestartet und gefreut... kurz... leider passierte genau nichts..
die attacke nimmt weiter seinen lauf und fail2ban schaut nur zu..
nach etwas recherche fiel mir dann auf, dass die postfix Einstellung folgende regexp zum Bannen konfiguriert hat:
Code:
[Definition] failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
ich finde auch bei google nix.. dabei bin ich doch nicht der einzige mit dem Problem? ich glaube die Person hatte das gleiche Problem wie ich http://stackoverflow.com/questions/3...-for-smtp-auth
Bitte sagt mir ob ich generell auf dem Holzweg bin und/oder wie die richtige Regexp für mein log ist.. vielen Dank!
Kommentar