Seit Wochen (3- 4 Wochen) wird meine Mailcow Instanz attackiert mit wahrscheinlich einem Botnet oder tausenden IPs, die IPs ändern sich ständig so das Fail2Ban und Crowdsec kaum wirkung zeigen. Fail2ban habe ich schon auf 1 gestellt so das nach einem Fehlversuch direkt ein ban von 120 min eintritt. Hilft aber nicht da immer neue IPs benutzt werden. Habt ihr da vllt noch Ideen zum blocken? Ich habe an Geoblocking gedacht aber muss noch überlegen wie ich das nur fürs Login verfahren scharf stelle.

Auf was gehen die Los? Welchen Port?

Die Mailcow Instanz ist hinter Traefik geschaltet, Port 587 nehme ich mal an da SASL-Authentifizierungsversuche darüber laufen meines wissens nach. Es wird versucht Login daten zu knacken. Username wird random probiert und das pw dazu. Hier die Log als Screenshot. Meine kompletten Logs sind voll damit. Seit Wochen steht der Mailserver unter Feuer. [upl-image-preview uuid=e3aae94c-41a9-4c0c-b566-7463e59b5299 url=https://community.mailcow.email/assets/files/2025-02-10/1739216770-155142-ssss.png alt={TEXT?}]

Bei meiner Mailcow genau das gleiche seit einer Woche. Sogar die gleichen IPs.

Das sieht mir aber nach einem typischen Grundrauschen aus. In meinem Netfilter-Log seh ich nur noch Warnungen seit ich meine Fail2Ban-Parameter so gesetzt habe: ``` Bannzeit in Sekunden: 86400 Maximale Bannzeit in Sekunden: 604800 Bannzeit erhöht sich mit jedem Bann Max. Versuche: 5 Wiederholungen im Zeitraum von (s): 600 Netzbereich für IPv4-Banns (8-32): / 32 Netzbereich für IPv6-Banns (8-128) : / 128 ``` Und ja, ich sperre einfach gleich mal für 24 Stunden und bis zu 7 Tagen. False-Positives kann ich ja jederzeit händisch herausnehmen. Aber gewöhnt euch daran, es wird nicht weniger, so lästig das ist.

Meine Einstellungen sehen so aus. So klappt das ganz gut: > Bannzeit in Sekunden: 432000 Maximale Bannzeit in Sekunden: 172800 Bannzeit erhöht sich mit jedem Bann Max. Versuche: 2 Wiederholungen im Zeitraum von (s): 1200 Netzbereich für IPv4-Banns (8-32): / 24 Netzbereich für IPv6-Banns (8-128) : / 128

@"Ganzjahresgriller"#p22023 Oha du sperrst gleich ein ganzes /24er aus. Deine Bannzeit ist höher als die maximale Bannzeit oder fehlt da eine oder mehrer Stellen bei der maximalen? Bei mir versuchen Sie es im Moment immer nur einmal, anscheinend lernen die Botbetreiber dazu

Ja, /24 weil ich damit gute Erfahrungen habe Da fehlt eine 0

> @"MaxPain"#p21992 Fail2ban habe ich schon auf 1 gestellt so das nach einem Fehlversuch direkt ein ban von 120 min eintritt. Kann man machen, ist aber imho overkill und erhöht die Gefahr, dass man sich selbst Probleme einhandelt, denn dass man mal irgendwo ein Passwort falsch eingibt, kann ja durchaus vorkommen. 😉 > @"MaxPain"#p21994 Seit Wochen steht der Mailserver unter Feuer. Naja, "unter Feuer" würde ich es erst nennen, wenn du hunderte oder tausende Anmeldeversuche pro Minute siehst. 😉 Auf deinem Screenshot sieht es aber eher so aus, als ob alle paar Minuten ein Versuch stattfindet und sich die vielen hundert oder tausend Versuche wohl eher über mehrere Tage oder Wochen angesammelt haben. Ich würde sagen, was du da siehst ist normal, wenn du irgendwelche Dienste über das Internet zugänglich machst und ich sehe das wie @"itsaw"#924 als normales Grundrauschen und würde mir daher nicht zu viele Gedanken darüber machen. Wie du siehst, macht Fail2Ban ja seinen Job und wenn du halbwegs sichere Passwörter verwendest, kommt da auch niemand rein.

Naja, gegen Fehler beim Tippen hilft ein PW Manager

@"Ganzjahresgriller"#p22034 Ja klar, trotzdem, bringt 1 Fehlversuch vs. z.B. 3 oder 5 Fehlversuche wenig an zusätzlicher Sicherheit, ausser du nutzt `password1` als password, da wäre der Angreifer beim zweiten Versuch drinn. 😉

Massive Bruteforce attacke seit Wochen

Ganzjahresgriller

Wäre schön wenn man das einbinden könnte. Die ersten Anfragen dazu stammen aus 2020. Ich trau mir das mit dem Scripten nicht zu

MaxPain

Ich habe die 10.000 IPs von AbuseIPDB bei Mailcow einfach in die Fail2ban BlackListe eingetragen ohne ein Script das sollte kein Unterschied machen. Funktioniert bei mir ohne Probleme

Hier die aktuellste Liste die ich von der API runtergeladen habe so müsst ihr euch nicht anmelden und das über die API requesten.

abuseip.txt

31kB

esackbauer

Man sollte die Liste schon regelmäßig (also am besten automatisiert) updaten, da die Angreifer mit stets wechselnden IPs/Hostern arbeiten.

DocFraggle

Sehr cool @esackbauer, die Seite hatte ich noch nicht auf dem Radar!

Ich hab mir ein Script gebaut das die IPs via Abuseip API zieht und dann via Mailcow API in Fail2Ban packt. Hier das Script:

#!/bin/bash

curl -G https://api.abuseipdb.com/api/v2/blacklist \
  -d confidenceMinimum=90 \
  -d plaintext \
  -H "Key: YOUR_ABUSEIP_API_KEY" \
  -H "Accept: application/json" \
  -o /tmp/abuseipdb_blacklist.txt

BLACKLIST=$(awk '{if (index($0, ":") > 0) printf "%s%s/128", sep, $0; else printf "%s%s/32", sep, $0; sep=","} END {print ""}' /tmp/abuseipdb_blacklist.txt)

cat <<EOF > /tmp/abuseip_request.json
{
  "items":["none"],
  "attr": {
    "blacklist": "$BLACKLIST"
  }
}
EOF

curl --include \
     --request POST \
     --header "Content-Type: application/json" \
     --header "X-API-Key: YOUR_MAILCOW_API_KEY" \
     --data-binary @/tmp/abuseip_request.json \
     'https://YOUR.MAIL.SERVER/api/v1/edit/fail2ban'

(der Umweg über das /tmp/abuseip_request.json file weil curl sonst meckert dass es zu viele Argumente sind wenn man es direkt übergibt)

Man sieht die IPs komischerweise nicht in der Mailcow Fail2Ban GUI, aber via iptables sind alle drin.

Ganzjahresgriller

Super, vielen Dank

Nach ein bisschen warten tauchen die auch in der Mailcow GUI auf

DocFraggle

Ganzjahresgriller Nach ein bisschen warten tauchen die auch in der Mailcow GUI auf

Stimmt, jetzt ist’s auch bei mir zu sehen

stefan21

DocFraggle Stimmt, jetzt ist’s auch bei mir zu sehen

Vielen Dank für das Script.

An welcher Stelle sollen die IP’s auftauchen? Einstellungen –> Fail2ban-Parameter –> Blacklist für Netzwerke und Hosts ?

[unknown]

Got it. Läuft.

Danke nochmals.

MaxPain

Ich habe das mal genau so übernommen und via cronjob zum auto-update eingetragen. Funktioniert auch super. Danke für das Script und die Tipps

Ganzjahresgriller

Wie oft lässt Du das Script laufen? Bei mir meldet sich AbuseIPDB und sagt mir “You’ve exhausted your daily request limit.”. Ich hatte das bislang um 3 Uhr und um 15 Uhr am laufen

DocFraggle

Ganzjahresgriller Der Cronjob läuft alle 5 Stunden

0 */5 * * * /path/to/script.sh
(also 0, 5, 10, 15, 20 Uhr)

Man hat ja 5x pro Tag in der Umsonst-Variante

MK796

Hallo!

Ich habe das Skript exakt wie beschrieben kopiert und kann bestätigen, dass es einwandfrei funktioniert!

Mit der blacklist angewendet haben die bruteforce Versuche (zumindest erstmal) gänzlich aufgehört 🙂

DANKE!

dariusuk

Bei den script ausführung bekomme errors "{“type”:“error”,“msg”:“authentication failed”}root@debian:~#"

DocFraggle

dariusuk hast Du denn YOUR_MAILCOW_API_KEY und YOUR_ABUSEIP_API_KEY mit Deinen API Keys ersetzt?

dariusuk

YOUR_MAILCOW_API_KEY was muss da rein? abuse api key ersetz klar aber wie und wo muss ich den mailcow api generieren?

ich meine bei mailcow unter api lese und schreibe rechte,mein server ip und generieren oder wie?

DocFraggle

System -> Konfiguration

Dann API aufklappen

dariusuk

das habe ich gemacht und dort steht nur 1

DocFraggle

Fehlt ja auch der Haken bei “API aktivieren” 😉

dariusuk

das ist klar aber wenn ich havken mache und speichern will fragt der nach IP und dort muss ich server ip schreiben und das bei beiden optionen?

DocFraggle

Na die IP von der aus Du die API nutzen willst. Ich habe da die IPv4 und IPv6 Adresse drin.

dariusuk

alles klar,jetzt klappt. danke!!

« Previous Page Next Page »