Massive Bruteforce attacke seit Wochen

DocFraggle

Moin zusammen, ich hab nochmal alles über den Haufen geworfen und anders gebaut.

Grund: 10000+ iptables DROP Rules können zu Performance-Einbußen führen!

Ich verwende jetzt “ipset” um die AbuseIPDB IPs in einem ipset zusammenzufassen. Diese sets kann man dann in einer einzigen iptables/ip6tables Rule referenzieren. Zudem nutze ich jetzt nicht mehr die Mailcow API für Fail2Ban sondern packe die Rule einfach direkt in die MAILCOW Chain.

Wer das übernehmen/testen will muss vorher Folgendes machen:

via Mailcow UI die bestehende Blacklist aus dem entsprechenden Textfeld löschen und speichern
via CLI docker compose down netfilter-mailcow; docker compose up netfilter-mailcow -d (dadurch wird der Ursprungszustand wieder hergestellt
Paket ‘ipset’ installieren

Neue Script Version:

DocFraggle/mailcow-scriptsblob/v2.0/abuseipdb.sh

stefan21

DocFraggle Grund: 10000+ iptables DROP Rules können zu Performance-Einbußen führen!

Good catch.

Thank’s again.

@[deleted]

Soweit ich verstehe wird mit dem letzten Srcipt die mailcow API nicht mehr benötigt. Macht es nicht Sinn, die vorgenommenen Einstellungen wieder auf den Default zu setzen? Falls ja, wie?

Ich kann weder Access-Control-Allow-Origin noch die IP Adresse beim Lese-Schreib-Zugriff und auch nicht die keys zurücksetzen.

DocFraggle

Hi, siehe:

DocFraggle Wer das übernehmen/testen will muss vorher Folgendes machen:

via Mailcow UI die bestehende Blacklist aus dem entsprechenden Textfeld löschen und speichern
via CLI docker compose down netfilter-mailcow; docker compose up netfilter-mailcow -d (dadurch wird der Ursprungszustand wieder hergestellt
Paket ‘ipset’ installieren

Und “jq” auch, genau. Das sollte es gewesen sein

Ganzjahresgriller

Hm, ich muss vor dem IPSET immer noch ein sudo voranstellen. Kann ich das umgehen?

DocFraggle

Ganzjahresgriller klar, lass das Script als root laufen oder führe das Script via sudo aus

Ganzjahresgriller

Oh Mann, das war zu einfach … Danke klappt

bekenz762

Top! Funktioniert super das neue Script. Vielen Dank! DocFraggle

Konstrukteur

@DocFraggle Kompliment! Ich werde das einmal ausprobieren.

Wie wäre es mit einem pull request auf Mailcow? Es wäre cool, wenn die Funktionalität des Ladens von AbuseIPB Einträgen gleich Teil von Mailcow wäre.

Ganzjahresgriller

Naja, so wie das jetzt gelöst ist läuft das ja, zugegeben auch sinnvoller Weise, komplett ausserhalb von Mailcow

Konstrukteur

Ja wahrscheinlich ist es nicht sinnvoll, dass man aus Mailcow gleich IPs an abuseIPDB senden kann… Da besteht die Gefahr, dass zu schnell oder aus versehen IPs gemeldet werden.

Ich warte einmal ab, wie sich diese Geschichte entwickelt. Zur Not könnte man aber ein reverse script schreiben und den Inhalt der geblockten IPs einfach über deren API an abuseIPDB senden. Den anonymisierten Netfilter Logeintrag gleich im Anhang …

Konstrukteur

Ich habe das Script entsprechend der Angaben verbaut und gerade ein paar IPs, die mir im Mailcow’s Netfilter Log angezeigt werden, gegen die dabei angelegte abuseipdb_blacklist gecheckt. Dabei habe ich eine IP gefunden, die in der abuseipdb_blacklist enthalten ist und trotzdem von Mailcow geblockt wurde. Sie ist also nicht vor Mailcow fallen gelassen worden sondern ist bis zu Mailcow’s fail2ban durch gekommen. Was könnte da falsch gelaufen sein?

Mailcow: Banning 188.244.154.53/32 for 10 zillion minutes after a hasty login attempt
abuseipdb_blacklist: sudo ipset test abuseipdb_blacklist_v4 188.244.154.53 Warning: 188.244.154.53 is in set abuseipdb_blacklist_v4.

Ich habe:

sudo apt install -y ipset
sudo docker compose down
den letzten Stand des Skripts von DocFraggle in /usr/local/bin/abuseipdb_sync.sh, chmod + Skript ausführen
Cronjob einstellen
sudo docker compose up -d

DocFraggle

Konstrukteur Ich habe:
sudo apt install -y ipset
sudo docker compose down
den letzten Stand des Skripts von DocFraggle in /usr/local/bin/abuseipdb_sync.sh, chmod + Skript ausführen
Cronjob einstellen
sudo docker compose up -d

Warum genau hast Du Docker gestoppt und gestartet? Beim Starten von netfilter-mailcow wird die Chain MAILCOW resettet, da sind dann nur noch ggf vorhandene Blocks drin, die abuseipdb_blacklist wird dabei gelöscht. Du musst das Script ausführen während Mailcow läuft, bzw, auch nachdem Du Mailcow neu gestartet hast. Dann wird die Regel ganz oben in der MAILCOW Chain eingefügt

Ganzjahresgriller

Stimmt habe ich auch gerade genauso feststellen können. Bei mir die IP 223.241.214.127

Konstrukteur

DocFraggle 💗

Mein Gedankengang war, dass die Datei ja auf dem Level des VPS angelegt wird und dann von Mailcow gelesen wird. War wohl falsch ;0)

Nach deinem Hinweis habe ich jetzt bei sudo iptables -L ganz oben im entsprechenden Segment:
Chain MAILCOW (1 references) target prot opt source destination DROP all -- anywhere anywhere match-set abuseipdb_blacklist_v4 src

Das scheint jetzt mehr Sinn zu machen.

Das Lernen hört niemals auf … it just never stops.

Danke dir für das Teilen deines Wissens und Respekt 🙏 !

Ganzjahresgriller

Ich habe Docker nicht gestoppt oder neu gestartet ….

DocFraggle

Ganzjahresgriller Ich habe Docker nicht gestoppt oder neu gestartet ….

Hier wäre dann die Frage: wann genau war der Block von Fail2Ban und ist die IP evtl erst später in die AbuseIPDB augenommen worden? Denn die DROP Regel in der MAILCOW Chain blockt das ja komplett

Ganzjahresgriller

Da hast Du recht. Stellt sich nur die Frage wie man das überprüfen kann …

stefan21

Auch die f2b-banlist?id bei den Fail2ban-Parameter mit den ausgesperrten IP’s aus der importierten Liste lassen sich nicht löschen bzw. zurücksetzen…

stefan21

Ein restart des Netfilters hilft. Und auf der cli das Löschen der json-liste. Aber die Einträge unter API lassen sich nicht zurück setzen. Wer kann damit helfen?

curiosity

@DocFraggle : Danke für das tolle Skript, hab es gestern Abend bei mir installiert und läuft wunderbar. Endlich kehrt ein bisschen mehr ruhe ein. War die letzten Tage schon auffällig mehr geworden.

DocFraggle

Gern geschehen 🙂

Hier die neuste Version, man kann via --skip-abuseipdb jetzt den Abruf bei der AbuseIPDB skippen. So kann man die Rule einfach noch Mal setzen ohne dass Tageslimit zu reißen. Z.B. nach einem Neustart der Mailcow, denn dann wird die Chain durch den netfilter Container resettet und die Rule verschwindet dadurch

DocFraggle/mailcow-scriptsblob/v2.1/abuseipdb.sh

« Previous Page Next Page »