Jep fail2ban blocked en ik log ze ik zal er een paar laten zien. Die ander ips die blacklist die log ik niet.
fail2ban (heb me zelf niet uitgesloten zodat ik kan testen of hij het nog doet
) -Deze zijn 2 uur geblocked geweest-
2009-01-12 11:04:49,328 fail2ban.actions: WARNING [vsftpd] Ban 192.168.1.101
2009-01-13 16:44:50,048 fail2ban.actions: WARNING [ssh] Ban 128.164.157.206
2009-01-14 14:26:14,143 fail2ban.actions: WARNING [ssh] Ban 208.38.35.8
2009-01-15 21:23:07,464 fail2ban.actions: WARNING [vsftpd] Ban 192.168.1.101
2009-01-16 17:38:54,655 fail2ban.actions: WARNING [ssh] Ban 192.168.1.103
Ftp (gebaseerd op iptables)
Jan 12 14:06:53 server kernel: [ 88.365747] ftp toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=87.98.200.119 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=21913 DF PROTO=TCP SPT=3067 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 15 12:12:59 server kernel: [18756.168371] ftp toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=87.106.241.34 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=5493 DF PROTO=TCP SPT=4596 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 16 22:04:18 server kernel: [54184.242461] ftp toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=152.160.17.2 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=2602 DF PROTO=TCP SPT=35845 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
vsFtpd log (87.98.200.119 is test of hij logde)
Sun Jan 11 19:07:57 2009 [pid 13012] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:34:09 2009 [pid 23692] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:34:45 2009 [pid 23697] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:34:54 2009 [pid 23700] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:40:33 2009 [pid 8792] CONNECT: Client "87.98.200.119"
Mon Jan 12 12:46:00 2009 [pid 10194] CONNECT: Client "87.98.200.119"
Mon Jan 12 13:16:33 2009 [pid 12098] CONNECT: Client "87.98.200.119"
Mon Jan 12 14:06:53 2009 [pid 8568] CONNECT: Client "87.98.200.119"
Fri Jan 16 22:04:18 2009 [pid 17074] CONNECT: Client "152.160.17.2"
Heb de laatste ook even nagekeken is 1 poging geweest die niet goed was.
Dus is ook er niet ingekomen.
imapJan 12 23:36:52 server kernel: [34237.297690] imap toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=204.16.252.112 DST=192.168.1.102 LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=36532 DF PROTO=TCP SPT=55109 DPT=143 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 15 21:27:25 server kernel: [51974.326760] imap toeganag: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=45010 DF PROTO=TCP SPT=50648 DPT=143 WINDOW=32792 RES=0x00 SYN URGP=0
Jan 15 22:47:05 server kernel: [56747.665940] imap toeganag: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10122 DF PROTO=TCP SPT=35323 DPT=143 WINDOW=32792 RES=0x00 SYN URGP=0
de eerste is een poortscanner om te controleren. De 2 laatste zijn dat ik inlogde met squirrellmail.
ssh (via iptables)
Jan 13 16:33:11 server kernel: [34344.595226] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=128.164.157.206 DST=192.168.1.102 LEN=60 TOS=0x00 PREC=0x00 TTL=50 ID=61996 DF PROTO=TCP SPT=57469 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 14:21:27 server kernel: [26451.936767] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=208.38.35.8 DST=192.168.1.102 LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=27099 DF PROTO=TCP SPT=41126 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 14 17:21:01 server kernel: [37209.977546] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=218.56.61.114 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=21901 PROTO=TCP SPT=8889 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 16 13:20:28 server kernel: [22798.066402] ssh toeganag: IN=eth0 OUT= MAC=00:30:18:a0:41:ce:00:1c:10:37:9a:ad:08:00 SRC=61.136.145.5 DST=192.168.1.102 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=5751 PROTO=TCP SPT=11252 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
edit:binnenkomers worden ook gelogd, maar er is dus niemand binnen gekomen door ssh
alle andere logs zijn leeg, dus geen hackers geweest.
In totaal 5 hackers/verkeerd verbondes. 2 zijn geblocked na te veel inlog pogingen en 3 niet. Deze heb het niet vaak genoeg geprobeerd.
Als ik een ip te vaak terug zie zet ik hem gewoon handmatig bij blacklist.txt.
Daarnaast kijk ik soms ook nog eens verder in de logs wat er precies is gebeurd