# fail2ban und Blacklist



## erzhausen (24. Juli 2014)

Hallo,
mir ist aufgefallen, dass ich seit ein paar Tagen aus China mit wechselnden IP-Adressen, aber aus dem gleichen AdressPool über ssh "gescannt" werde.

Hier ein Auszug aus meinem fail2ban.log:

```
2014-07-23 08:20:05,823 fail2ban.actions: WARNING [ssh] Ban 61.174.51.224
2014-07-23 08:21:12,967 fail2ban.actions: WARNING [ssh] Ban 122.225.103.118
2014-07-23 08:30:06,693 fail2ban.actions: WARNING [ssh] Unban 61.174.51.224
2014-07-23 08:31:13,810 fail2ban.actions: WARNING [ssh] Unban 122.225.103.118
2014-07-23 08:33:06,984 fail2ban.actions: WARNING [ssh] Ban 116.10.191.228
2014-07-23 08:43:07,789 fail2ban.actions: WARNING [ssh] Unban 116.10.191.228
2014-07-23 09:03:55,423 fail2ban.actions: WARNING [ssh] Ban 61.174.50.224
2014-07-23 09:04:34,495 fail2ban.actions: WARNING [ssh] Ban 116.98.11.244
2014-07-23 09:06:47,696 fail2ban.actions: WARNING [ssh] Ban 116.10.191.164
2014-07-23 09:09:41,956 fail2ban.actions: WARNING [ssh] Ban 61.174.51.222
2014-07-23 09:13:56,323 fail2ban.actions: WARNING [ssh] Unban 61.174.50.224
2014-07-23 09:14:35,390 fail2ban.actions: WARNING [ssh] Unban 116.98.11.244
2014-07-23 09:16:48,590 fail2ban.actions: WARNING [ssh] Unban 116.10.191.164
2014-07-23 09:19:42,842 fail2ban.actions: WARNING [ssh] Unban 61.174.51.222
2014-07-23 09:28:49,543 fail2ban.actions: WARNING [ssh] Ban 116.10.191.213
2014-07-23 09:38:50,349 fail2ban.actions: WARNING [ssh] Unban 116.10.191.213
2014-07-23 12:00:33,664 fail2ban.actions: WARNING [ssh] Ban 61.174.51.231
2014-07-23 12:10:34,500 fail2ban.actions: WARNING [ssh] Unban 61.174.51.231
2014-07-23 12:32:51,206 fail2ban.actions: WARNING [ssh] Ban 208.69.28.77
2014-07-23 12:42:52,017 fail2ban.actions: WARNING [ssh] Unban 208.69.28.77
2014-07-23 21:38:03,160 fail2ban.actions: WARNING [ssh] Ban 91.218.78.120
2014-07-23 21:48:04,010 fail2ban.actions: WARNING [ssh] Unban 91.218.78.120
2014-07-23 22:00:15,982 fail2ban.actions: WARNING [ssh] Ban 116.10.191.195
2014-07-23 22:10:16,836 fail2ban.actions: WARNING [ssh] Unban 116.10.191.195
2014-07-24 04:07:04,032 fail2ban.actions: WARNING [ssh] Ban 222.163.192.148
2014-07-24 04:15:26,786 fail2ban.actions: WARNING [ssh] Ban 61.174.51.227
2014-07-24 04:17:04,967 fail2ban.actions: WARNING [ssh] Unban 222.163.192.148
2014-07-24 04:25:27,713 fail2ban.actions: WARNING [ssh] Unban 61.174.51.227
2014-07-24 04:35:36,617 fail2ban.actions: WARNING [ssh] Ban 221.224.18.3
2014-07-24 04:45:37,535 fail2ban.actions: WARNING [ssh] Unban 221.224.18.3
2014-07-24 08:49:13,630 fail2ban.actions: WARNING [ssh] Ban 116.10.191.169
2014-07-24 08:59:14,483 fail2ban.actions: WARNING [ssh] Unban 116.10.191.169
2014-07-24 09:09:23,313 fail2ban.actions: WARNING [ssh] Ban 116.10.191.196
2014-07-24 09:19:24,141 fail2ban.actions: WARNING [ssh] Unban 116.10.191.196
2014-07-24 10:04:38,693 fail2ban.actions: WARNING [ssh] Ban 61.174.50.235
2014-07-24 10:05:47,806 fail2ban.actions: WARNING [ssh] Ban 61.144.43.235
2014-07-24 10:14:39,565 fail2ban.actions: WARNING [ssh] Unban 61.174.50.235
2014-07-24 10:15:48,677 fail2ban.actions: WARNING [ssh] Unban 61.144.43.235
2014-07-24 10:42:58,856 fail2ban.actions: WARNING [ssh] Ban 61.174.50.216
2014-07-24 10:52:59,717 fail2ban.actions: WARNING [ssh] Unban 61.174.50.216
2014-07-24 12:15:42,677 fail2ban.actions: WARNING [ssh] Ban 116.10.191.231
2014-07-24 12:25:43,522 fail2ban.actions: WARNING [ssh] Unban 116.10.191.231
2014-07-24 12:57:47,293 fail2ban.actions: WARNING [ssh] Ban 61.174.51.220
2014-07-24 13:07:48,191 fail2ban.actions: WARNING [ssh] Unban 61.174.51.220
2014-07-24 13:19:39,269 fail2ban.actions: WARNING [ssh] Ban 61.174.51.196
2014-07-24 13:29:40,189 fail2ban.actions: WARNING [ssh] Unban 61.174.51.196
2014-07-24 17:17:24,321 fail2ban.actions: WARNING [ssh] Ban 116.10.191.189
2014-07-24 17:27:25,167 fail2ban.actions: WARNING [ssh] Unban 116.10.191.189
2014-07-24 17:55:13,447 fail2ban.actions: WARNING [ssh] Ban 61.174.51.206
2014-07-24 18:05:14,337 fail2ban.actions: WARNING [ssh] Unban 61.174.51.206
2014-07-24 19:15:07,201 fail2ban.actions: WARNING [ssh] Ban 61.155.203.56
2014-07-24 19:25:08,074 fail2ban.actions: WARNING [ssh] Unban 61.155.203.56
2014-07-24 19:37:33,135 fail2ban.actions: WARNING [ssh] Ban 61.174.50.235
2014-07-24 19:47:33,999 fail2ban.actions: WARNING [ssh] Unban 61.174.50.235
2014-07-24 20:05:38,470 fail2ban.actions: WARNING [ssh] Ban 61.174.51.222
2014-07-24 20:15:39,373 fail2ban.actions: WARNING [ssh] Unban 61.174.51.222
2014-07-24 20:24:10,164 fail2ban.actions: WARNING [ssh] Ban 61.174.51.211
2014-07-24 20:34:11,116 fail2ban.actions: WARNING [ssh] Unban 61.174.51.211
2014-07-24 20:56:24,109 fail2ban.actions: WARNING [ssh] Ban 62.162.44.130
```
Auffällig ist, dass lt. whois-Abfrage die meisten Attacken aus chinesischen Netzen kommen:
61.144.43.224 - 61.144.43.239
61.155.0.0 - 61.155.255.255
61.174.48.0 - 61.174.55.255
116.8.0.0 - 116.11.255.255

Entsprechend dieser Anleitung oder der hier kann man einzelne IP's blacklisten. Da bei mir der/die Angreifer mit ständig wechselnder IP auftreten ist die Pflege der Blacklist-Datei ein größerer Aufwand.

Laut dieser englischen Anleitung könnte man das auch automatisieren, falls ich den Text richtig verstanden habe. In jedem Fall wird die Blacklist-Datei mit der Zeit riesig werden.
Meine Frage ist nun:
*Kann man statt der singulären Adresse auch Adress-Bereiche angeben um einen kompletten ISP zu blocken?*

Solange ich mit einem Rechner im Heimnetz experimentiere habe ich vorsorglich die Portweiterleitung für SSH deaktiviert.
Später auf einem vServer oder Root-Server beim Hoster kann ich das natürlich nicht mehr.

Grüsse erzhausen


----------



## Till (27. Juli 2014)

Du kannst Die Chinesen auch einfach das root Passwort ausprobieren lassen solange sie wollen und das Blocken wie bisher dem fail2ban überlassen, wenn Du einfach auf Zertifikatsbasierte root Logins umschaltest. Dann könnten sie sich selbst dann nicht einloggen wenn sie das richtige root Passwort hätten, geschweige denn rausfinden was es ist. Nach einiger Zeit geben sie auch wieder auf.
ansonsten kannst Du mit iptables auch ganze ranges IP blocken, schau mal bei google nach z.B. "iptables drop network range".


----------



## erzhausen (27. Juli 2014)

Zitat von Till:


> ansonsten kannst Du mit iptables auch ganze ranges IP blocken, schau mal bei google nach z.B. "iptables drop network range".


Hallo Till,
danke für den Tipp, da muss ich mich mal einlesen.

Grüsse erzhausen


----------



## wotan2005 (27. Juli 2014)

# einzelne aussperren
iptables -A INPUT -p ALL -s 192.168.0.22 -j REJECT

# Sperre des Netzwerks 192.168.0.x
iptables -I INPUT -s 192.168.0.0/24 -j DROP

# alle Regeln löschen
iptables -F

# alle Ketten löschen
iptables -X

IPTABLES DMZ:
Example rc.DMZ.firewall script


----------



## erzhausen (28. Juli 2014)

Zitat von wotan2005:


> IPTABLES DMZ:
> Example rc.DMZ.firewall script


Danke für die Tipps und den Link.
Bisher hatte ich mich noch nicht mit iptables beschäftigen müssen, werde mich aber jetzt verstärkt einlesen.

Ich habe gerade diesen Beitrag gefunden. 
Da ich noch nicht fit mit dem Thema iptables bin, wäre es nett wenn jemand die dort beschriebene Vorgehensweise kommentieren könnte.

Danke


----------



## florian030 (29. Juli 2014)

Das kann man schon so machen. Ich nehme die Listen von blocklist.de und lasse die per Script und cron updaten. Es kann aber passieren, dass man irgendwann vor lauter Blocklisten zu nichts anderem mehr kommt.  Mit persönlich sind scans auf port 22 ziemlich egal - da läuft eh nichts.

Ein paar Listen für die Firewall, fail2ban und was dann noch rauscht ist auch egal.


----------



## erzhausen (29. Juli 2014)

Zitat von florian030:


> Mit persönlich sind scans auf port 22 ziemlich egal - da läuft eh nichts.


Auch dir danke für den Link

Solange das sich auf Port 22 beschränken würde könnte ich auch damit leben - der ist per Zertifikat gesichert.
Aber hier kamen auch einige unerwünschte Anfragen auf [postfix-sasl] herein.
Den Mailserver hatte ich eigentlich nur aufgesetzt um die Systemmeldungen komfortabler lesen zu können (installiert lt. howtoforge-Anleitung).
Da ich mich, wie schon gesagt, mit meinen Tests momentan nur im Intranet bewege habe ich daraufhin die entsprechende Portweiterleitung im Router vorläufig deaktiviert. Um die Mails zukünftig auch von außerhalb lesen zu können ist mir aber daran gelegen den Server so gut als möglich abzuschotten. Ein forward zu einer externen Mailbox möchte ich nicht einrichten. Aus Zeitgründen bin ich aber bisher noch nicht an die postfix/dovecot Konfiguration gekommen.

Grüsse erzhausen


----------



## robotto7831a (29. Juli 2014)

Bei den Mailservern ist es immer so eine Welle. Alle paar Wochen kommen 24 Stunden alle paar Minuten Anfrage die regelmäßig von fail2ban gesperrt werden. Dann ist wieder ruhe und pro Tag werden nur ganz wenige bis gar keine gesperrt. Ich habe die Sperre von fail2ban auf 24 Stunden eingestellt. Dann werden die wieder entsperrt.


----------

