Tham gia Đăng nhập
Điểm:-2
alex K avatar Server

Bộ lọc FAIL2BAN- ai có thể cung cấp cho tôi bộ lọc để chặn sự xâm nhập này?

lá cờ vn
alex K

Tôi thấy trong maillog máy chủ trung gian của tôi bị xâm nhập vô tận. tôi cần chặn những ip này. ai có thể trợ giúp với tệp lọc để khớp với những tệp này?

Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: Lỗi SSL_accept từ ẩn số[185.7.214.188]: -1
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: cảnh báo: sự cố thư viện TLS: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:giao thức không xác định:s23_srvr.c:647:
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: mất kết nối sau STARTTLS từ ẩn số[185.7.214.188]
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: ngắt kết nối khỏi không xác định[185.7.214.188]
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: kết nối từ không xác định[185.7.214.188]
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: Lỗi SSL_accept từ ẩn số[185.7.214.188]: -1
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: cảnh báo: sự cố thư viện TLS: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:giao thức không xác định:s23_srvr.c:647:
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: mất kết nối sau STARTTLS từ ẩn số[185.7.214.188]
Ngày 21 tháng 1 07:51:44 mydomain postfix/smtpd[23505]: ngắt kết nối khỏi không xác định[185.7.214.188]
Ngày 21 tháng 1 07:52:46 mydomain spamd[19730]: spamd: kết nối từ mydomain.com [127.0.0.1] tại cổng 35360
Ngày 21 tháng 1 07:52:46 mydomain spamd[19728]: prefork: con nói: Tôi
Ngày 21 tháng 1 07:54:05 mydomain postfix/smtpd[23549]: cảnh báo: tên máy chủ zg-0104b-34.stretchoid.com không phân giải thành địa chỉ 192.241.208.40
Ngày 21 tháng 1 07:54:05 mydomain postfix/smtpd[23549]: kết nối từ không xác định[192.241.208.40]
Ngày 21 tháng 1 07:54:05 mydomain postfix/smtpd[23549]: ngắt kết nối không xác định[192.241.208.40]
Ngày 21 tháng 1 07:57:25 mydomain postfix/anvil[23507]: thống kê: tốc độ kết nối tối đa 2/60 giây cho (gửi:185.7.214.188) vào ngày 21 tháng 1 07:51:44
Ngày 21 tháng 1 07:57:25 mydomain postfix/anvil[23507]: thống kê: số lượng kết nối tối đa 1 cho (gửi:185.7.214.188) vào ngày 21 tháng 1 07:51:43
Ngày 21 tháng 1 07:57:25 mydomain postfix/anvil[23507]: stats: max cache size 1 at 21 tháng 1 07:51:43
Ngày 21 tháng 1 07:57:46 mydomain spamd[19730]: spamd: kết nối từ mydomain.com [127.0.0.1] tại cổng 53520
Ngày 21 tháng 1 07:57:46 mydomain spamd[19728]: prefork: con nói: Tôi
Ngày 21 tháng 1 08:01:40 mydomain postfix/smtpd[23649]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:40 mydomain postfix/smtpd[23649]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: ngắt kết nối không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: ngắt kết nối không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:45 mydomain postfix/smtpd[23652]: ngắt kết nối không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:46 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:47 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: mất kết nối sau UNKNOWN từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23649]: mất kết nối sau STARTTLS từ ẩn số[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23649]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: Lỗi SSL_accept từ ẩn số[185.181.102.18]: -1
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: cảnh báo: sự cố thư viện TLS: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:giao thức không xác định:s23_srvr.c:647:
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: mất kết nối sau STARTTLS từ ẩn số[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23652]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23649]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18
Ngày 21 tháng 1 08:01:48 mydomain postfix/smtpd[23649]: kết nối từ không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:49 mydomain postfix/smtpd[23649]: Lỗi SSL_accept từ ẩn số[185.181.102.18]: -1
Ngày 21 tháng 1 08:01:49 mydomain postfix/smtpd[23649]: cảnh báo: sự cố thư viện TLS: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:giao thức không xác định:s23_srvr.c:647:
Ngày 21 tháng 1 08:01:49 mydomain postfix/smtpd[23649]: mất kết nối sau STARTTLS từ ẩn số[185.181.102.18]
Ngày 21 tháng 1 08:01:49 mydomain postfix/smtpd[23649]: ngắt kết nối khỏi không xác định[185.181.102.18]
Ngày 21 tháng 1 08:01:49 mydomain postfix/smtpd[23652]: cảnh báo: tên máy chủ Turtle.census.shodan.io không phân giải thành địa chỉ 185.181.102.18

Tôi có postfix-sasl - làm cách nào để sửa đổi nó cho phù hợp với các lỗi kết nối này.

96
0 + 0
djdomi avatar
lá cờ za
djdomi
postfix và postfix sasl được triển khai theo mặc định. chúng tôi câu hỏi này liên quan đến kinh doanh? bởi vì ut trông giống như một câu hỏi enduser
0
Hồi đáp
alex K avatar
lá cờ vn
alex K
Tôi mới bắt đầu một ví dụ về cánh buồm ánh sáng của amazon cách đây một tháng. Tôi đã thấy rất nhiều sự xâm nhập trong nhật ký hệ thống. tôi muốn biết làm thế nào họ biết địa chỉ ip của tôi để nhanh chóng tấn công máy chủ của tôi?
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
chào mừng bạn đến với internet. bao giờ nghe từ quét cổng? Ngày nay, bạn có thể quét toàn bộ internet chỉ trong vài phút. bạn có nghĩ rằng ip của bạn là một bí mật?
0
Hồi đáp
Điểm:0
sebres avatar Server
lá cờ il
sebres

Thứ nhất, đây không phải là một sự xâm nhập trực tiếp - đây có vẻ như là quá trình quét cổng đơn giản nhất... Và ngoại trừ một số cổng nhất định trên (postfix) và có thể là một thông báo về các ứng dụng hay đúng hơn là các cổng mà máy chủ của bạn đang nghe phía máy quét), bạn sẽ không có rắc rối với điều đó.
Bạn chắc chắn có thể cấm họ, nhưng bạn phải biết mình làm gì (ví dụ: để tránh thông báo sai cho một số người dùng hợp pháp của bạn, chẳng hạn nếu kết nối chậm của ai đó sẽ gây ra các thông báo tương tự)...

Để cấm chính xác lũ này chỉ ở phía hậu tố, bạn có thể thêm nhà tù này:

[postfix-quét]
bộ lọc =
failregex = ^\s*\S+ postfix/smtpd\[[^\]]+\]: mất kết nối sau (?:STARTTLS|UNKNOWN) từ [^\[]*\[<ADDR>\]
cổng = smtp,465, gửi
... (logpath, backend, maxretry, findtime, v.v.) ...
đã bật = đúng

(như đã nói, về mặt lý thuyết, bạn có thể cấm một số người dùng hợp pháp với điều đó, vì vậy có lẽ bạn nên tăng thử nghiệm tối đa và giảm thời gian tìm kiếm cho nhà tù này)

Để cấm quét cổng về cơ bản, bạn có thể thêm một số quy tắc bộ lọc mạng, chẳng hạn như ghi nhật ký (và có thể hủy) các kết nối gửi các gói SYN tới nhiều cổng (với một số cụm) hoặc thậm chí trên một số gói tới một số cổng đã đóng.
Và sau đó, bạn thậm chí có thể cấm họ bổ sung bằng cách sử dụng thứ gì đó như - https://github.com/fail2ban/fail2ban/issues/1945

0 + 0
alex K avatar
lá cờ vn
alex K
Cảm ơn vì đã bình luận. Bạn có thể cho tôi biết làm thế nào mà họ tìm thấy ip của tôi. Tôi mới bắt đầu ví dụ một tuần trước trên amazon lightsail. Đây có phải là những người SSL cung cấp địa chỉ IP của tôi hoặc Postfix hoặc Plesk không?
0
Hồi đáp
alex K avatar
lá cờ vn
alex K
Ngoài ra, nơi tôi có thể tìm thấy các bộ lọc LÀM VIỆC cho các vấn đề khác nhau. Thay vì tôi dành nhiều thời gian cho regex.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.