Massive Bruteforce attacke seit Wochen

esackbauer

netsrot303 Wie macht ihr das denn um nur die geforderten eingehenden Ports für mailcow zuzulassen?

Wie gesagt, das macht mailcow ja schon selber.

netsrot303

Okay, also ist es nicht notwendig erstmal alle eingehende Ports zu schliessen und explizit nur gewünschte eingehenden Ports zu öffnen auf dem Server. Wie z.B. der Port für ssh.

Ganzjahresgriller

Naja, ssh ist ja ein Thema für sich. Ich habs z. B. standradmäßig ausgeschalten und aktiviere es nur wenn ich es brauche

smart

Sers Zusammen,
vielen herzliche Dank für dieses Script und allen welche hier fleissig mitgeholfen haben.
Ich hätte evtl. noch ein paar Anmerkungen.

ich sehe im Script keine Versionsnummer - woran erkenne ich ob ich die 2.3 (von hier) habe ?
Sollte evtl. im Script die Version mit reingeschrieben sein damit dies klar ist?

das läßt mich auch zu Punkt 2 kommen.

hier steht noch in der ‘Anleitung’ das ‘jq’ und ‘ipset’ benötigt werden.
Hier steht aber irgendwo das ‘jq’ gar nicht mehr benötigt wird.
Was ist nun richtig bzw. aktuell?
Darf ich freundlich um eine aktuelle Anleitung (für Dummies) fragen - für die aktuelle v2.3 bitte?
Zudem scheint mir, dass hier auch verschiedene Pfade für die Script-Datei genutzt werden. Gibt es hier einen optimalen Vorschlag oder jeder wie er will?
Ich bin der Meinung, dass eine Anleitung ruhig einen default Pfad angeben kann (für Dummies) damit am Ende z.B. auch der Pfad in cron Eintrag passt.

Nochmals vielen Dank für die Mühen und das Script - bitte mich nicht falsch verstehen.
VG
Mike

DocFraggle

smart Sollte evtl. im Script die Version mit reingeschrieben sein damit dies klar ist?

Hi, ja, könnte man machen, aber am besten direkt via GitHub Tag runterladen

DocFraggle/mailcow-scriptsblob/v2.3/abuseipdb.sh

Zu 2.: Du hast Recht, ich habe jq mit Version 2 rausgeschmissen, das muss noch in den Docs entfernt werden.

Zu 3.: die Anleitung in den Docs ist nach wie vor aktuell, nur das mit jq ist obsolet. Das Script kann man irgendwo hin packen, welchen Sinn macht es denn in der Anleitung einen Pfad anzugeben?

smart

zu 1
dann ggf. mein Vorschlag (falls ich nicht etwas übersehen habe), dass der GitHub Tag auch ins Doc rein kommt?

zu 3
war nur ein Vorschlag.
z.b. weil Dummies es irgendwohin legen (ausserhalb path) und es deswegen nicht automatisch funktioniert.
so wäre es vorgegeben und somit grundlegend funktionell - wer es dann woanders haben möchte, der muss halt wissen was er tut.

wie geschrieben - bitte nicht falsch verstehen.
Ich möchte nur Vorschlagen wie es evtl. ‘Dummies’ sicher gemacht werden könnte…

Freundliche Grüße
Mike

maybl8

Since update to 2025-09 and 09a this error is back. I haven’t changed anything.

[demo@mail iptables]$  sudo /etc/iptables/./abuseipdb.sh --enable-log
Retrieve IPs from AbuseIPDB
Ensure the ipsets exist
Flush existing ipset entries
Process each IP and add it to the appropriate ipset
Ensure iptables/ip6tables rules exist at the top
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.
ip6tables: No chain/target/match by that name.


All done, have fun.

Check your current iplist entries with 'ipset list | less'

DocFraggle

I didn’t update yet, I guess the ipv6 chain is different now due to the changes

EDIT: I updated my mailcow testsystem, I still have the chain “MAILCOW” in my ip6tables output

testcow:/opt/mailcow-dockerized# ip6tables -L | grep Chain
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy DROP)
Chain OUTPUT (policy ACCEPT)
Chain DOCKER (1 references)
Chain DOCKER-BRIDGE (1 references)
Chain DOCKER-CT (1 references)
Chain DOCKER-FORWARD (1 references)
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
Chain DOCKER-ISOLATION-STAGE-2 (1 references)
Chain DOCKER-USER (1 references)
Chain MAILCOW (1 references)

Just ran the script there, works as intended. Maybe don’t run it with sudo but directly as root user

mlcwuser

Leute, warum macht ihr euch das Leben auch so schwer? Netfilter funktioniret doch: Hatte heute etwa 50 Mails in meiner Notifications Inbox, mit IP’s, die geblockt wurden. Nutzt anständige Passwörter, und lasst die Mailcow ihr Ding machen. ;-)

curiosity

Warum macht man sich das Leben dadurch extra schwer? Ich finde gute Passwörter alleine reichen heutzutage nicht mehr aus um einen Server der im Internet steht, abzusichern.
Besser ist es doch die Bösen IPs im Vorfeld zu blockieren, bevor sie den Server belasten mit ihren Scans usw.

Wenn das Skript einmal konfiguriert worden ist und läuft, merkt man davon in der Regel nichts mehr. Hab gestern auch meinen Mailserver (arm64) auf die neue Version geupdatet und bin von Debian bookworm auf das neue trixie geupgraded. Keine Probleme, alles läuft wie vorher. Von daher habe keinerlei Stress mit der zusätzlichen Absicherung des Servers.

mlcwuser

curiosity Wenn das Skript einmal konfiguriert worden ist und läuft, merkt man davon in der Regel nichts mehr

Offenbar ja schon bei einigen, wie man hier sieht 😉

Aber ja, klar kann man das so machen, und ja mein Kommentar war auch irgendwo überflüssig, konnte es aber in diesem Fall nicht lassen. 🤗

curiosity

mlcwuser Offenbar ja schon bei einigen, wie man hier sieht 😉

Naja, wenn man so ein Skript installiert oder generell beim aufsetzen eines Servers, sollte man bestimmte Grund Voraussetzungen im Umgang mit der Console und Befehlen schon haben. Vor allem wenn User bei der Ursachenforschung Unterstützen und helfen, dabei noch die richtigen hinweise geben, dann sollte man diese Schritte auch beherzigen und auch so ausführen. 😉

Aber egal, ich bin mit dem Skript und der zusätzlichen Absicherung zufrieden. Finde es klasse wenn User wie @DocFraggle ihr Wissen hier mit uns teilen.

DocFraggle

mlcwuser Offenbar ja schon bei einigen, wie man hier sieht 😉

Augen auf im Internetverkehr, es war genau EINER der geschrieben hatte, und man weiss nicht mal genau was bei ihm das Problem war 😉
Bei mir läufts nach wie vor 1A, auch nach dem Update

friendsfan

Wirklich tolles Skript, läuft seit heute auf meinem noch sehr neuen Mailcow Server. Dank an @DocFraggle hierfür.

Was mir jetzt aufgefallen ist während ich die Logs angeschaut habe, nach der alten Methode hat Fail2Ban nie gegriffen, weil die Anfragen zu weit auseinander lagen. Der eigentliche Login Versuch war wohl “genug”, um dann beim nächsten Mal die nächste IP für die Abfrage auszulösen.

Jetzt mit der DROP Methode geht das offenbar so schnell, dass dieselbe IP bis zu 3 mal hintereinander versucht wird. Das wiederum hätte, man dann relativ einfach mit einer Verschärfung der Fail2Ban Regeln catchen können.

Das finde ich irgendwie ironisch….ist / war das bei euch auch so?

Ich habe / hatte auch vor Einsatz des neuen Skripts noch keine einzige IP in der Fail2Ban Liste drin. Aber wie gesagt, ist ein noch junger Mailserver (paar Wochen), der nur im privaten Bereich genutzt wird.

DocFraggle

Ich kann Dir leider nicht ganz folgen… mein Script hat rein gar nichts mit Fail2ban zu tun.

Der untere Screenshot ist das iptables Log

friendsfan

DocFraggle

Sorry, da hab ich mich wohl zu kompliziert ausgedrückt. Es ging mir ausschließlich darum, dass “Verhalten” dieses Spammers (81.30.107.0/24) zu vergleichen, wenn er bisher mit Fail2Ban und danach durch dein Skript mit IPtables konfrontiert wurde.

Fail2Ban:

Es erfolgte ein Loginversuch mit einer IP (z. B. 81.30.107.34), dann wurde die nächste ausgepackt (“…..58”).
Somit konnte Fail2Ban niemals irgendeine IP bannen, da immer nur ein Versuch pro IP gestartet wurde und diese dann erst viel später ggfs. erneut verwendet wurde.

IPTables:

Eine IP Adresse versucht es innerhalb kürzester Zeit mehrmals, z. B. die “….189” auf dem Screenshot.

Danach habe ich einfach nur für mich die (sinnlose) Schlussfolgerung gezogen, dass Fail2Ban auch gebannt hätte, wenn der Angreifer es eben auch dort nach einem Login Versuch sofort nochmals mit der selben IP und ggfs. einem anderen Login Namen versucht hätte.

Natürlich sind das grund verschiedene Voraussetzungen (einmal konnte er ja die Verbindung herstellen, bei IPTables wird er einfach gedropt, und dann versucht er es halt mehrmals mit derselben IP.

Diese Einträge hatte ich jedenfalls mehrere Tage in den Logs, aber eben bisher aus den obigen Gründen keinerlei “Reaktion” von Fail2Ban.

DocFraggle

Ach OK, jetzt hab ich’s verstanden 😄

Ich denke die drei iptables Einträge sind simple Retries, evtl auch ICMP Pings bevor die eigentliche Bruteforce Attacke losgeht. Ist leider rechts abgeschnitten, müsstest Du sehen

« Previous Page