Schnelle Hilfe mit der Linux-eigenen Firewall

Ich habe ein Mail von einem Kunde erhalten, der mich gelengtlich beauftragt, wenn dessen Webserver spinnt und es also zu Problemen mit den Diensten für dessen Kunden gibt. Diemal war es:Mails seiner Kunden könnten nicht zugestellt werden, es würden ihm Ressoursenengpässe gemeldet. Allerdings hatte er den Server schon neu gestartet, weshalb ich die Ursache nicht "live und in Farbe" sehen konnte.

Aber Im betreffenden Zeitraum fand ich hunderte Einträge in einem Logfile, die darauf schließen ließen, dass da jemand bei einer Atacke auf die Benutzernamen und Passwörter den Server versehentlich überlastet und also "gehimmelt" hat.

unknown[91.200.12.147]: SASL LOGIN authentication failed: authentication failure
unknown[91.200.12.152]: SASL Login authentication failed: authentication failure

... So sieht sowas also aus. (verkürzt)

Eine kurze Nachsuche ergab: Das Netzwerk ist bekannt. Es handelt sich um einen ukrainischen Anbieter von virtuellen Servern, dessen Dienste offenbar "nicht ganz grundlos" für illegale Zwecke genutzt werden. Die Rückwärtsuche ergibt für die IP 91.200.12.147 den spannenden Namen "dedic774.hidehost.net".

Mit einem Blick in die whois-Datenbank und einem schnellen fw_block.sh 91.200.12.0/22 war es dann getan. Server aus der Ukraine sind regelmäßig nicht Rechner, die von Kunden meines Kunden oder deren Kunden oder deren Interessenten genutzt werden um sich Webseiten anzusehen.

Jetzt ist erst mal Ruhe.

Das Skript fw_block.sh hat im Kern folgenden Inhalt:

#!/usr/bin/sudo /bin/sh
/sbin/iptablesiptables -A INPUT -s $1 -j DROP
/sbin/iptables -L -n | grep "DROP\|REJECT" | sed -r "s/ +/ /" | cut -d " " -f6 | tee /tmp/fwlist.txt | grep $1

... und macht also nichts als einige Fingerverrenkungen zu ersparen und die Sperrung zu quittieren.

Ich hab mir 20 Euro aufgeschrieben. Abrechnung erst wenn es sich lohnt.


Weitere Informationen in diesem Bereich: