/u/11570/crop64b5645ba45a2.png?f=community)
Ik loop tegen een probleem aan waar ik niet helemaal uitkom, en ik hoop dat jullie me hier een eindje de goede richting in kunnen duwen.
Mijn probleem zit er in dat ik al een paar weken een brute force aanval heb lopen via mijn webmail. Ik draai Kerio Connect op een debian 6.0.3 omgeving. Vanaf bepaalde IP-adressen wordt steeds 2 uur lang elke 5 seconden geprobeerd in te loggen op mijn webmail. Gelukkig nog altijd niet gelukt, enerzijds omdat de gebruikersnamen (nog) niet gevonden zijn, anderzijds vanwege de sterke wachtwoorden die gebruikt worden.
In Kerio heb ik dit voor een deel al weten af te vangen door het maximaal aantal open connecties naar 20 te zetten, daarmee kunnen alle gebruikers tegelijk actief de webmail gebruiken.
Verder ben ik met iptables aan de slag gegaan en heb ik een 2-tal regels lopen:
Deze code heb ik aangepast naar een voorbeeld van brute force beveiliging op poort 22. Dit werkt, hiermee heb ik geen last meer van een dichte verbinding en is mijn webmail altijd bereikbaar. Alleen, op de een of andere manier, als ik aan het mailen ben, kan ik maximaal 5 mailtjes lezen, daarna moet ik een minuut wachten. Niet handig dus.
Een mooie oplossing zou natuurlijk zijn om de betreffende IP's te gaan blokkeren. Mijn kerio maakt keurig logfiles aan, waar de volgende regel in te vinden is:
Maar nu...
Hoe kan ik nu verder? Ik zou dus graag dat IP-adres uit die regel willen hebben, en dat naar iptables willen doorsluizen, zodat ik daar met drop-commando's aan de slag kan. Alleen daar kom ik niet uit. Zit er nu al een weekje of wat op te puzzelen, heb er helaas niet elke dag de tijd voor. De verbinding is nu dicht, maar ik zou toch graag weer gewoon willen mailen.
Iemand die mij kan helpen?
Andere vraag is dan meteen, stel ik sluit mezelf uit op deze manier, hoe kan ik mijn eigen IP (intern ip dus) weer vrij geven?
Mijn probleem zit er in dat ik al een paar weken een brute force aanval heb lopen via mijn webmail. Ik draai Kerio Connect op een debian 6.0.3 omgeving. Vanaf bepaalde IP-adressen wordt steeds 2 uur lang elke 5 seconden geprobeerd in te loggen op mijn webmail. Gelukkig nog altijd niet gelukt, enerzijds omdat de gebruikersnamen (nog) niet gevonden zijn, anderzijds vanwege de sterke wachtwoorden die gebruikt worden.
In Kerio heb ik dit voor een deel al weten af te vangen door het maximaal aantal open connecties naar 20 te zetten, daarmee kunnen alle gebruikers tegelijk actief de webmail gebruiken.
Verder ben ik met iptables aan de slag gegaan en heb ik een 2-tal regels lopen:
code:
1
2
| iptables -I INPUT -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 443 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 -j DROP |
Deze code heb ik aangepast naar een voorbeeld van brute force beveiliging op poort 22. Dit werkt, hiermee heb ik geen last meer van een dichte verbinding en is mijn webmail altijd bereikbaar. Alleen, op de een of andere manier, als ik aan het mailen ben, kan ik maximaal 5 mailtjes lezen, daarna moet ik een minuut wachten. Niet handig dus.
Een mooie oplossing zou natuurlijk zijn om de betreffende IP's te gaan blokkeren. Mijn kerio maakt keurig logfiles aan, waar de volgende regel in te vinden is:
code:
1
2
3
| logfile: warning.log [28/Sep/2011 21:35:02] Connection attempt to service HTTPS from IP address xxx.xxx.xxx.xxx rejected: too many connections. Connection limit is 20. |
Maar nu...
Hoe kan ik nu verder? Ik zou dus graag dat IP-adres uit die regel willen hebben, en dat naar iptables willen doorsluizen, zodat ik daar met drop-commando's aan de slag kan. Alleen daar kom ik niet uit. Zit er nu al een weekje of wat op te puzzelen, heb er helaas niet elke dag de tijd voor. De verbinding is nu dicht, maar ik zou toch graag weer gewoon willen mailen.
Iemand die mij kan helpen?
Andere vraag is dan meteen, stel ik sluit mezelf uit op deze manier, hoe kan ik mijn eigen IP (intern ip dus) weer vrij geven?
/u/26742/000000751.png?f=community)
