Fail2ban funktioniert nicht, falsches regex als default?

sprachloserhummer

Guten Tag Zusammen,

beim täglichen LOG durchstöbern, ist mir aufgefallen das die IP 141.98.11.86 heute begonnen hat sich anzumelden (postfix in dem fall).

Laut diversen Abuse-Datenbanken ist die IP sehr bekannt für Missbrauch, vor allem in Kombination mit dem Passwort das versucht wird: UGFzc3dvcmQ6

Wenn man nach dem Passwort sucht, findet man sogar ganze IP Listen die genau zu dem Thema passen und sperrbar wären per Firewall.

Jedoch fiel mir ein, das fail2ban eigentlich diese sperren müsste. Habe fail2ban in der GUI so eingerichtet bzw nur die Zeiten angepasst, das diese quasi Jahre sperrt.

Fail2ban sperrt jedoch nichts, und ich fragte mich wieso (weil laut Logs von Postfix alleine über 50 versuche innerhalb ca 3 Sekunden stattfand).

Also schaute ich in den default Regex regeln, und mir fiel folgendes auf:

Die Regel (die als default drin ist):
warning: .*\[([0-9a-f\.:]+)\]: SASL .+ authentication failed: (?!.*Connection lost to authentication server).+

Der Log eintrag:
warning: unknown[141.98.11.86]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Ich bin nun in regex nicht so tief bewandert, aber wenn ich obriges richtig verstehe, dann findet diese Regel nichts, weil “Connection lost to authentication server” zb am ende fehlt (im originalen log).

Edit: Laut Postfix log, alleine heute schon über 4000 Einträge, bzgl dieses Passworts, innerhalb wenigen Minuten. Und Mailcow hat davon nicht eine einzige gesperrt.

sprachloserhummer

Ok, ich habe nun andere Logs untersucht.

Habe somit dies gefunden (ein Ausschnitt):

 141.98.11.86 matched rule id 3 (warning: unknown[141.98.11.86]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
 141.98.11.22 matched rule id 3 (warning: unknown[141.98.11.22]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
 141.98.11.14 matched rule id 3 (warning: unknown[141.98.11.14]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
 141.98.11.84 matched rule id 3 (warning: unknown[141.98.11.84]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
 141.98.11.53 matched rule id 3 (warning: unknown[141.98.11.53]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
 141.98.11.65 matched rule id 3 (warning: unknown[141.98.11.65]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
 141.98.11.55 matched rule id 3 (warning: unknown[141.98.11.55]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)

Rule ID 3 ist laut GUI tatsächlich die angesprochene Regel und scheint tatsächlich zu funktionieren.

Jedoch ist die GUI Ausgabe leer:

Hier müssten laut schneller filterung per Excel jedoch über 1500 IPs drin stehen, die mindestens 315569520 Sekunden (10 Jahre) gesperrt sein sollten.

Edit:

Ich habe die IPs aus den Logs per regex nun gesogen, und unter “Blacklisted networks” eingetragen. Mal schauen ob das klappt.

Edit2:

Das sind die IPs die mit dem bekannten Passwort versuchen sich anzumelden (falls jemand die auch sperren möchte):

103.237.21.20
103.237.21.37
111.70.24.91
114.104.153.51
114.29.156.69
117.123.12.134
117.123.14.8
120.29.140.188
122.187.238.69
122.252.223.124
1.234.63.161
141.98.10.106
141.98.10.109
141.98.10.112
141.98.10.131
141.98.10.132
141.98.10.26
141.98.10.48
141.98.10.69
141.98.10.72
141.98.11.111
141.98.11.14
141.98.11.146
141.98.11.22
141.98.11.29
141.98.11.46
141.98.11.52
141.98.11.53
141.98.11.54
141.98.11.55
141.98.11.65
141.98.11.67
141.98.11.83
141.98.11.84
141.98.11.86
141.98.11.93
185.36.81.180
185.36.81.58
189.44.62.218
200.205.134.87
200.232.114.219
201.91.101.26
211.230.156.199
218.56.155.106
220.179.61.160
221.7.61.34
45.125.65.159
45.125.65.37
58.216.170.50
91.224.92.110
91.224.92.22

Edit3:

Manuell hinzufügen klappte.

accolon

Ich sehe solche Login-Versuche gerade auch massiv, allerdings von IPs aus dem Bereich 46.148.40.0/24.

Da die IPs immer nur wenige Versuche machen und dann wechseln, greift der Filter aufgrund der Einstellung “10 Versuche innerhalb von 600 Sekunden” kaum.

Einen hat es aber vorhin erwischt:

21.02.2023, 13:15:09	crit	Banning 46.148.40.94/32 for 30 minutes
21.02.2023, 13:15:09	warn	46.148.40.94 matched rule id 1 (warning: unknown[46.148.40.94]: SASL LOGIN authentication failed: UGFzc3dvcmQ6)
21.02.2023, 13:14:29	warn	9 more attempts in the next 600 seconds until 46.148.40.145/32 is banned

Ich hab jetzt ebenfalls den kompletten Adressbereich manuell gesperrt, aber der Filter scheint grundsätzlich zu funktionieren.

Nachtrag:
“UGFzc3dvcmQ6” ist kein Passwort, sondern der String “Password:” base64-kodiert. Postfix loggt einfach das, was es von SASL zurückbekommt (und das ist offenbar der Name des fehlgeschlagenen Authentisierungsschritts). Dass Passwörter nicht im Log landen, ist ja auch erst mal positiv.

sprachloserhummer

accolon Da die IPs immer nur wenige Versuche machen und dann wechseln, greift der Filter aufgrund der Einstellung “10 Versuche innerhalb von 600 Sekunden” kaum.

Ja das weiß ich. Habe wie erwähnt bei der ersteinrichtung von Mailcow die Zeiten angepasst.

Bantime: 10 jahre
Versuche: 2 innerhalb von 20 sekunden

Das sollte laut den Logs zich mal funktioniert haben (da teilweise hunderte versuche innerhalb von wenigen sekunden unternommen worden sind), was es ja auch funktioniert hat laut logs von netfilter. Wurde jedoch dann nie wirklich gesperrt und/oder die GUI hat ein Bug (siehe https://community.mailcow.email/d/2241-fail2ban-funktioniert-nicht-falsches-regex-als-default/2).

accolon “UGFzc3dvcmQ6” ist kein Passwort, sondern der String “Password:” base64-kodiert. Postfix loggt einfach das, was es von SASL zurückbekommt (und das ist offenbar der Name des fehlgeschlagenen Authentisierungsschritts). Dass Passwörter nicht im Log landen, ist ja auch erst mal positiv.

Das habe ich jetzt nicht so ganz verstanden. Also mir ist schon klar das UGFzc3dvcmQ6 nicht klartext ist. Also in dem Fall, wenn es wirklich base64 ist, hieße es das ja das der Bot sich versucht hat mit “Password:” anzumelden.

(was ziemlich kreativlos wäre meiner meinung nach, mal abgesehen davon das es immer das selbe ist. vielleicht ein “bot zombie” ala eingerichtet und nach 10 Jahren vergessen)

accolon

Noch ein Nachtrag:

Bei meiner mailcow lautet die Regel noch warning: .*\[([0-9a-f\.:]+)\]: SASL .+ authentication failed, der hintere Teil ist erst im April 2022 für neue Installationen ergänzt worden:
mailcow/mailcow-dockerized6c5ab78

Macht aber hier keinen Unterschied; das ?!ist ein “Negative Lookahead”, damit die Regel nicht greift, wenn der hintere Teil auf den vorderen folgt. Es wird also ein spezieller Fall als Ausnahme definiert.

accolon

Ich weiß nicht, warum Postfix das in Kombination mit SASL so macht (insbesondere nicht, warum es in base64 ist), aber der Wert ist nicht das Passwort selbst, sondern der Name des Schritts, der bei der versuchten Anmeldung fehlschlägt (da das versuchte Passwort falsch ist).

Man kann den Loglevel vermutlich hochsetzen, um das PW zu sehen, hab ich aber noch nicht ausprobiert.

Mit echo 'UGFzc3dvcmQ6' | base64 --decode kann man leicht sehen, dass es “Passwort:” ist, und Google zeigt, dass solche Logeinträge sehr verbreitet sind.

Deine Regel schlägt vermutlich nicht an, da 20 Sekunden als Zeitfenster sehr kurz sind. Die Regel matched pro IP, nicht übergreifend. Es muss also die gleiche IP innerhalb von 20 Sekunden 2x negativ auffallen, da die Adressen aber selten wiederverwendet werden, dürfte das kaum eintreten. Setz die Zeit mal hoch, also z.B. 2 Fehlversuche innerhalb von 10 Minuten.