funde in der syslog

  • Frohes neues alle zusammen


    ich habe da eine Frage, wie hättet ihr so ein Eintrag in der log gewertet?

    Code
    Jan  5 06:26:13 nyx qmail-smtpd: qmail-smtpd/VC started
    Jan  5 06:26:14 nyx pdadmin[24054]: User rtc: smtp-auth login failed from 103.151.122.30 (no such user)
    Jan  5 06:26:19 nyx qmail-msa: 1641360379.578310 chkauth : Mail from 103.151.122.30 rejected, no SMTP-AUTH
    Jan  5 06:26:19 nyx qmail-msa: 1641360379.578844 tcpserver: end 24053 status 0
    Jan  5 06:26:19 nyx qmail-msa: 1641360379.578861 tcpserver: status: 0/12
    Jan  5 06:26:20 nyx qmail-msa: 1641360380.099773 tcpserver: status: 1/12
    Jan  5 06:26:20 nyx qmail-msa: 1641360380.100509 tcpserver: pid 24056 from 103.151.122.30
    Jan  5 06:26:20 nyx qmail-msa: 1641360380.100600 tcpserver: ok 24056 xxx xxx

    von denen habe ich einige und ich glaube es wird auch von fail2ban nicht als angriff erkannt

    soll ich da irgendwie drauf reagieren?

  • Da hat wohl wer versucht Mails ohne smtp-auth auf Port 587 einzuliefern. Die Zeile

    Jan 5 06:26:14 nyx pdadmin[24054]: User rtc: smtp-auth login failed from 103.151.122.30 (no such user)

    wird tatsächlich nicht von fail2ban beachtet. Unter /etc/fail2ban/filter.d/qmail.conf gibt es standardmäßig nur die Filter

    Code
    failregex = ^%(__prefix_line)s\d+\.\d+ rblsmtpd: <HOST> pid \d+ \S+ 4\d\d \S+\s*$
                ^%(__prefix_line)s\d+\.\d+ qmail-smtpd: 4\d\d badiprbl: ip <HOST> rbl: \S+\s*$
                ^%(__prefix_line)s\S+ blocked <HOST> \S+ -\s*$

    Ich habe folgende Anpassung gemacht

    Code
    $ cd /etc/fail2ban/filter.d/
    $ cp qmail.conf qmail.local

    und in die qmail.local dann den Filter eingefügt

    Code
    failregex = ^%(__prefix_line)s\d+\.\d+ rblsmtpd: <HOST> pid \d+ \S+ 4\d\d \S+\s*$
                ^%(__prefix_line)s\d+\.\d+ qmail-smtpd: 4\d\d badiprbl: ip <HOST> rbl: \S+\s*$
                ^%(__prefix_line)s\S+ blocked <HOST> \S+ -\s*$
                User [-/\w]+.*(?:[a-z]{2,6}): smtp-auth login failed from <HOST> \(no such user\)

    anschließend kann dies mit fail2ban-regex getestet werden

    Code
    $ fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/qmail.local
    [schnipp]
    Results
    =======
    
    Failregex: 50 total
    |-  #) [# of hits] regular expression
    |   4) [50] User [-/\w]+.*(?:[a-z]{2,6}): smtp-auth login failed from <HOST> \(no such user\)
    `-
    [schnapp]

    Bei mir werden die smtp-auth Loginversuche unter /var/log/maillog geloggt. Es sollte bei fail2ban sichergestellt werden, dass das richtig Log verwendet wird.