Нужна помощь
Нужна помощь
Весь лог за*ран, 20mb.
Есть идеи как это прекратить?
Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to 163jy56xdg5ef34@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <163jy56xdg5ef34@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to zyhmqs1ih8o2olr@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <zyhmqs1ih8o2olr@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to ilp6gmujspox@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <ilp6gmujspox@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to jlambert@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <jlambert@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to javery@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <javery@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to info10@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <info10@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to jl87tlobcxjbc@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <jl87tlobcxjbc@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to hmd@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <hmd@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to hammer@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <hammer@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to pntvv4aramck@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <pntvv4aramck@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to gmm@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <gmm@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to rys073z5nakod7xe@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <rys073z5nakod7xe@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to gata@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <gata@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to ztnif8dfqessonad@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <ztnif8dfqessonad@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to 0bzq7crhqufeye3i@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <0bzq7crhqufeye3i@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to cnrgt7kbqyor1k@rolley.ru.
Есть идеи как это прекратить?
Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to 163jy56xdg5ef34@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <163jy56xdg5ef34@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to zyhmqs1ih8o2olr@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <zyhmqs1ih8o2olr@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to ilp6gmujspox@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <ilp6gmujspox@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to jlambert@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <jlambert@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to javery@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <javery@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to info10@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <info10@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to jl87tlobcxjbc@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <jl87tlobcxjbc@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to hmd@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <hmd@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to hammer@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <hammer@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to pntvv4aramck@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <pntvv4aramck@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to gmm@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <gmm@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to rys073z5nakod7xe@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <rys073z5nakod7xe@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to gata@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <gata@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to ztnif8dfqessonad@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <ztnif8dfqessonad@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to 0bzq7crhqufeye3i@rolley.ru.
2024-02-11 11:54:05 H=([113.59.119.97]) [113.59.119.97] I=[192.168.1.135]:25 F=<xa3no2yeipm6r6@statserv.altai.su> rejected RCPT <0bzq7crhqufeye3i@rolley.ru>: "Homo homini lupus est"
2024-02-11 11:54:05 Delay 0s for [113.59.119.97] with HELO=[113.59.119.97]. Mail from xa3no2yeipm6r6@statserv.altai.su to cnrgt7kbqyor1k@rolley.ru.
Re: Нужна помощь
Ищут уязвимость.
Вы можете включить fail2ban
Вы можете включить fail2ban
Re: Нужна помощь
Fail2ban включен, но он не блокирует это дело.
Пробовал такой вариант
в /etc/fail2ban/jail.d/exim.conf добавил
port = exim,smtp,465,25,587,submission
в /etc/fail2ban/filter.d/exim.conf добавил
failregex = SMTP syntax error in \".+\" H=\[<HOST>\] NULL character\(s\) present \(shown as \'\?\'\)*$
SMTP protocol error in \"[^"]*\" H=\([^)]*\) \[<HOST>\] \w+ authentication mechanism not supported
SMTP protocol synchronization error \([^)]*\): rejected (?:connection from|"\S+") %(host_info)s(?:next )?input=".*"\s*$
%(host_info)srejected RCPT [^@]+@\S+: (?:relay not permitted|Sender verify failed|Unknown user|Unrouteable address)\s*$
толку ноль.
Можете поделиться конфигом?
Пробовал такой вариант
в /etc/fail2ban/jail.d/exim.conf добавил
port = exim,smtp,465,25,587,submission
в /etc/fail2ban/filter.d/exim.conf добавил
failregex = SMTP syntax error in \".+\" H=\[<HOST>\] NULL character\(s\) present \(shown as \'\?\'\)*$
SMTP protocol error in \"[^"]*\" H=\([^)]*\) \[<HOST>\] \w+ authentication mechanism not supported
SMTP protocol synchronization error \([^)]*\): rejected (?:connection from|"\S+") %(host_info)s(?:next )?input=".*"\s*$
%(host_info)srejected RCPT [^@]+@\S+: (?:relay not permitted|Sender verify failed|Unknown user|Unrouteable address)\s*$
толку ноль.
Можете поделиться конфигом?
Re: Нужна помощь
По какому пути хранятся правила iptables в Almalinux 9.3?
/etc/sysconfig/iptables?
можно ли массово добавлять ip в блокировку через блокнот?
/etc/sysconfig/iptables?
можно ли массово добавлять ip в блокировку через блокнот?
Re: Нужна помощь
В общем я не знаю в чем конкретно дело,но iptables работать оказывалась на 3 разных машинах по управлением brainycp.
т.е iptables работает какое-то время, потом видимо просто встает.
Что самое интересное создается впечатление что все ок - Адреса в блокировку ручками(именно ручками добавляются) НО блокировка по этим адресам не происходит.Лог fail2ban видит атаки через раз или вообще не видит.Думал может ресурса не хватает, а нет(оперативки немеррено, 10,12,18 ядер cpu)
Поведение крайне странное.
Перезагрузил сервера, и о чудо 63 ip адреса сразу встало в reject.
Не первый раз наблюдаю такую картину и на alma 9 и 9,3 и centos.
т.е iptables работает какое-то время, потом видимо просто встает.
Что самое интересное создается впечатление что все ок - Адреса в блокировку ручками(именно ручками добавляются) НО блокировка по этим адресам не происходит.Лог fail2ban видит атаки через раз или вообще не видит.Думал может ресурса не хватает, а нет(оперативки немеррено, 10,12,18 ядер cpu)
Поведение крайне странное.
Перезагрузил сервера, и о чудо 63 ip адреса сразу встало в reject.
Не первый раз наблюдаю такую картину и на alma 9 и 9,3 и centos.
Re: Нужна помощь
скорее всего вы используете CSF. Он тоже использует iptables и это похоже приводит к конфликту с вашими правилами, которые вы пытаетесь определить ему непосредственно.
вы можете отключить csf с командной строки
или включить
проверьте так же состояние сервиса firewalld
он должен быть выключен
вы можете отключить csf с командной строки
Код: Выделить всё
csf -x
Код: Выделить всё
csf -e
Код: Выделить всё
systemctl status firewalld
Re: Нужна помощь
Да, скорее всего, но такая ситуация и на пустой панели, после установки.
Re: Нужна помощь
ответ одного из серверов
systemctl status firewalld
○ firewalld.service
Loaded: masked (Reason: Unit firewalld.service is masked.)
Active: inactive (dead)
[root@blackrussian ~]# csf -e
bash: csf: command not found
есть идеи?
systemctl status firewalld
○ firewalld.service
Loaded: masked (Reason: Unit firewalld.service is masked.)
Active: inactive (dead)
[root@blackrussian ~]# csf -e
bash: csf: command not found
есть идеи?
Re: Нужна помощь
Покажите вывод данной команды на таком сервере
Вы можете использовать таблицу mangle, которая отсекает все входящие пакеты на уровне сетевого интерфейса, как пример
Покажите так же выводы этих команд
Код: Выделить всё
iptables -L -n
Код: Выделить всё
iptables -t mangle --append PREROUTING -s 10.0.0.1 -j DROP
Код: Выделить всё
cat /etc/os-release
df -BM
uname -r
Re: Нужна помощь
1 сервер
systemctl status firewalld
○ firewalld.service
Loaded: masked (Reason: Unit firewalld.service is masked.)
Active: inactive (dead)
[root@]# iptables -L -n
bash: iptables: command not found
[root@]# cat /etc/os-release df -BM uname -r
cat: invalid option -- 'B'
Try 'cat --help' for more information.
cat /etc/os-release (без ключей)
[root@]# cat /etc/os-release
NAME="AlmaLinux"
VERSION="9.3 (Shamrock Pampas Cat)"
ID="almalinux"
ID_LIKE="rhel centos fedora"
VERSION_ID="9.3"
PLATFORM_ID="platform:el9"
PRETTY_NAME="AlmaLinux 9.3 (Shamrock Pampas Cat)"
ANSI_COLOR="0;34"
LOGO="fedora-logo-icon"
CPE_NAME="cpe:/o:almalinux:almalinux:9::baseos"
HOME_URL="https://almalinux.org/"
DOCUMENTATION_URL="https://wiki.almalinux.org/"
BUG_REPORT_URL="https://bugs.almalinux.org/"
ALMALINUX_MANTISBT_PROJECT="AlmaLinux-9"
ALMALINUX_MANTISBT_PROJECT_VERSION="9.3"
REDHAT_SUPPORT_PRODUCT="AlmaLinux"
REDHAT_SUPPORT_PRODUCT_VERSION="9.3"
systemctl status firewalld
○ firewalld.service
Loaded: masked (Reason: Unit firewalld.service is masked.)
Active: inactive (dead)
[root@]# iptables -L -n
bash: iptables: command not found
[root@]# cat /etc/os-release df -BM uname -r
cat: invalid option -- 'B'
Try 'cat --help' for more information.
cat /etc/os-release (без ключей)
[root@]# cat /etc/os-release
NAME="AlmaLinux"
VERSION="9.3 (Shamrock Pampas Cat)"
ID="almalinux"
ID_LIKE="rhel centos fedora"
VERSION_ID="9.3"
PLATFORM_ID="platform:el9"
PRETTY_NAME="AlmaLinux 9.3 (Shamrock Pampas Cat)"
ANSI_COLOR="0;34"
LOGO="fedora-logo-icon"
CPE_NAME="cpe:/o:almalinux:almalinux:9::baseos"
HOME_URL="https://almalinux.org/"
DOCUMENTATION_URL="https://wiki.almalinux.org/"
BUG_REPORT_URL="https://bugs.almalinux.org/"
ALMALINUX_MANTISBT_PROJECT="AlmaLinux-9"
ALMALINUX_MANTISBT_PROJECT_VERSION="9.3"
REDHAT_SUPPORT_PRODUCT="AlmaLinux"
REDHAT_SUPPORT_PRODUCT_VERSION="9.3"