[erledigt] fail2ban bannt, aber Zugriff weiterhin möglich

[serecords]

Hallo,

ich habe heute bemerkt, dass mein fail2ban zwar fleißig Angriffe auf mein sasl bannt, jedoch die IP Adressen weiterhin darauf zugreifen können.
Ich bekomme von fail2ban jedes mal die Mail, dass eine IP Adresse die einen sasl Angriff gestartet hat, gebannt wurde. Jedoch greift diese IP Adresse nur wenige Sekunden später wieder auf sasl zu und wird angeblich erneut gebannt.

Wo könnte der Fehler liegen?

Hier mal ein Auszug aus der jail.local

Code: Alles auswählen

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 123.*** (Server IP)
bantime  = 600
maxretry = 3 

Code: Alles auswählen

[sasl]

enabled  = true
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
maxretry = 3
bantime = 6000
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log

und aus der sasl.conf

Code: Alles auswählen

[Definition]

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [ A-Za-z0-9+/]*={0,2})?\s*$

ignoreregex = 

[DynaBlaster]

Puh,

aus deinen Auszügen ist nicht ersichtlich, welchen Mechanismus fail2ban anstösst, um zu bannen. In der Regel geschieht das über ein iptables-Kommando, das von fail2ban ausgeführt wird, sobald er in seinen überwachten Logs eine gewisse Anzahl Login-Fehlversuche regsitriert hat. Vermutlich wird einfach dieses Kommando nicht korrekt ausgeführt.

Was sagt denn iptables -L -n, sobald eine IP angeblich gebannt worden ist? Würde spontan darauf tippen, das fail2ban nicht mit Root-Rechten läuft und deshalb schlicht das iptables-Kommando nicht ausführen darf.

[serecords]

Also derzeit ist leider keine IP gebannt wurden, also in den letzten 600 sek.

Ich hab trotzdem mal die Ausgabe in nopaste geladen.
37775

[serecords]

Ich habe jetzt mal die Bantime hochgesetzt, sodass man das in den iptables finden sollte.

Hier mal die letzten beiden Zeilen vom fail2ban.log, nachdem ich fail2ban neu gestartet habe

Code: Alles auswählen

2014-04-18 13:24:31,514 fail2ban.actions: WARNING [sasl] Ban 112.120.65.223

Hier mal der derzeitige Auszug aus den iptables
37782

Jetzt scheint es ja geklappt zu haben, zumindest gehe ich anhand dieser Stelle mal davon aus:

Code: Alles auswählen

Chain fail2ban-sasl (1 references)
target     prot opt source               destination
DROP       all  --  112.120.65.223       0.0.0.0/0

Ich werde das mal weiter beobachten und einfach mal selbst den "Angreifer" spielen.

[Cae]

Ich werde das mal weiter beobachten und einfach mal selbst den "Angreifer" spielen.

Beachte, dass du dich damit fuer die Bannzeit komplett abschiesst, also auch SSH, Ping etc.. Sofern das Bannen ueberhaupt tut, was ja schon ein Problem zu sein scheint (auch wenn ich das in den iptables-Auszuegen nicht nachvollziehen kann).

Gruss Cae

[serecords]

Ich habe eine Dnyamische IP, daher ist das mit dem Aussperren kein Problem.

Ausgehend von dem neusten iptables Auszug, scheint es wieder zu bannen.

Ursprünglich bin ich darauf gestoßen, dass eine IP die angeblich gebannt wurde (lt. Mail Benachrichtigung) nur eine Minute später wieder gebannt wird. Das bedeutete ja, dass sie eben nicht gebannt wurde und weiter "angreifen" konnte.
Jetzt scheint das Problem sich erledigt zu haben, warum auch immer. Ich habe ja nur die bantime von 600 auf 60.000 hoch genommen um nachforschen zu können.

Was mir allerdings aufgefallen ist, das die Versuche derzeit anscheinend nicht mehr Brute Force sind, sondern eher auf einer schmalen Wortliste (englisch natürlich) beruhen. Sie tasten alle gängigen Adressen (root, webmaster, abuse,...) ab, aber auch häufig verwendete (user, sales, admin,...). Das aber nur mal nebenbei.