Angriff auf Server über SASL?

[#uP.Chefchen]

Hallo Leute!
Seit einiger Zeit (über ein Jahr), attackiert jemand Aggresiv unseren Server. Zwischendurch ist mal ruhe und dann geht es wieder Richtig los. Dann müssen direckt mehrere IP's auf die Bannliste.
Die location der IP's kommen von überall. Europa, Asien, Amerika. Überall halt. Scheinbar ist immer dann ruhe, sobald die aktuellen IP's geblacklisted sind, und sie keine neuen mehr haben. Dann ein zwei Monate Später geht es dann wieder los.
Failtoban sagt, das sie es über SASL versuchen. Nur verstehe ich nicht so ganz, wie sie es genau versuchen, und was das am Ende bringt, sollten sie Erfolg haben. Bisher hatten die Angreifer keinen.
Auf dem Server läuft, Debian 7 angefangen hatte es schon als wir noch auf Debian 6 waren. (ich bezweifel aber das es damit was zu tun hat.)
Wir haben unseren Server bei Hetzner gemietet (wo ich auch bezweifle das das etwas mit zu tun hat^^)
Ich hoffe mir kann einer Helfen, und mich aufklären was es mit diesen SASL Angriffen auf sich hat.
EDIT:
Auf unserem Server läuft auch nichts besonderes. Ein paar Gameserver, ein Teamspeak und unsere HP + Webmail.

 

[ekin06]

Log-Dateien als Beispiel? Vermutlich handelt es sich hier um normales "Internetrauschen". Das findest du im Prinzip auf jedem Server und kann eigentlich nur, wie ihr sie ja bereits im Einsatz habt, Blacklisten eingedämmt werden. Interessant wäre eigentlich über welche Dienste versucht wird eine Authentifizierung zu erzielen um da zur Vorbeugung entsprechende Maßnahmen zu ergreifen.

 

[#uP.Chefchen]

Werde was dazu posten, sobald neue bans da sind...^^ Dürfte ja eigendlich nicht zu lange dauern. Außer jetzt ist wieder ne neue Pause...

 

[Sithys]

Poste die alten Logs!?

 

[#uP.Chefchen]

Leider gibt es die nicht mehr.
Wegen der übersichtlichkeit gelöscht.
Hätte man vorher dran denken können, das man die noch braucht.
Wird aber wie gesagt nicht zu lange dauern...

 

[ekin06]

Im Falle eines echten Angriffes, ist es natürlich sehr ratsam die Logs zu löschen...
Wenn es zur Anzeige kommt, hat die Polizei zum Glück weniger Arbeit und muss weniger Daten sichern bzw. auswerten.

 

[KillerCow]

Ich würd mal in den Authentifizierungslogs schauen, ob da jemand "Passwörter raten" spielt

Sowas hatte ich mal, als mein Server zuhause kurzzeitig auf Port 22 von aussen erreichbar war. Prompt hatte ich nen Chinesen inklusive Bruteforce Angriff zu besuch.

Bei mir läuft SSH nach aussen hin jetzt nicht mehr auf dem Standardport (ist kein wirklicher Schutz, schon klar. Hilft aber gegen Skriptkiddies) und per iptables (per recent Modul) landen allzu aufdringliche Kantidaten automatisch für ne Weile auf einer Blacklist.

 

[worldoak]

Im Falle eines echten Angriffes, ist es natürlich sehr ratsam die Logs zu löschen...
Wenn es zur Anzeige kommt, hat die Polizei zum Glück weniger Arbeit und muss weniger Daten sichern bzw. auswerten.

Es bringt nichts LOGs zu haben, die Ips sind nichtssagend, wenn selbst Online Betrugfälle wegen IPs aus anderen Ländern nicht aufgeklärt werden, bei dennen Tausende Euros die EU verlassen, dann werden die noch weniger machen um einen Serverinbruch aufzuklären.....

 

[Daaron]

Das ist tatsächlich stinknormales Rauschen, das haben wir dauernd. Schau mal in /var/log/auth.log, da hast du permanent Anfragen drin, bei denen irgend welche Scripter "Passwortraten" spielen. Eine echte Bedrohung geht davon nicht aus, solange du Fail2Ban (oder was ähnliches) laufen hast und deine Passwörter anständig sind. Wenn der Angreifer nach 3 Fehlversuchen erst mal ne Stunde Pause hat, dann kannst du ja mal ausrechnen, wie lange er braucht, um ein typisches "pwgen -1sy 60" - Passwort zu erraten.

 

[#uP.Chefchen]

Bei passwortraten kann er so lange raten bis er grau wird.
Wenn er es durch raten reinschafft, dann hat der oder die wohl auch schon einige male im Lotto gewonnen...^^

 

[ekin06]

@worldoak
Schon klar, aber man kann es ja trotzdem versuchen. Die Polizei wird in jedem Fall untersuchen... ob dann am Ende was rauskommt ist erstmal zweitens. Du kannst nicht bei jedem echten Angriff davon ausgehen, dass jeder Angreifer auch ein Profi ist und keine Fehler macht. Wenn jeder gleich die Flinte ins Korn werfen würde... wo ständen wir da heute?

 

[Daaron]

Wenn ich jeden "Angriff" auf unsere Infrastruktur der Polizei melden würde, dann müssten die ne eigene Cybercrime-Division nur für unsere paar Maschinen abstellen.
Außerdem, was soll die Polizei da machen? Interpol einschalten? Die Angreifer hocken in Russland, der Ukraine, Kasachstan, China, Vietnam,... Ich hatte erst einen einzigen Fall von solchem Hintergrundrauschen, das von ner deutschen IP ausging, und zwar von ner Hetzner-Maschine. Also hab ich kurz ne Abuse-Meldung an Hetzner geschickt und der Spuk war nach 1-2 Stunden endgültig vorbei.

 

[ekin06]

Zwischen Rauschen und echten Angriff differenzieren. Erst anzeigen wenn Schanden entstanden ist bzw. man einem echten Angriff sicher ausgesetzt war, aber den Schaden noch nicht feststellen konnte. Die Polizei kann vlt. Muster erstellen und über angelegte Datenbanken Zusammenhänge zu anderen Fällen herstellen, wer weiß das schon? Die NSA soll ja auch so einiges drauf haben wie man hört. Auf jeden Fall ist (meine Meinung) nichts zu tun die schlechtere Variante. Kann doch jeder selbst entscheiden... ist ja auch kein Muss. Natürlich sollte man abwägen ob die geklaute Kundendatenbank oder eher das von Scriptkiddies gelöschte Familienfoto eine Anzeige Wert ist.