Hmm. Konnte dies denn mal live beobachtet werden? Würde gern ausschließen, dass es nicht mit dem Problem mit den Digital Ocean IPs zusammen hängt.
Mail: TLS-Handshakefehler
-
-
ich würde sagen, dass hängt mit dem Digital Ocean IPs, zu dem Zeitpunkt waren immer ein paar Digital Ocean IPs, jede IP hatte aber etliche Verbindungen …
-
Also ich führe das Problem ausschließlich darauf zurück das der Port 465 angegriffen wurde.
IPs konnte ich von DigitalOcean, OVH und Linod feststellen. Ich habe dann immer großflächig die Netze der Angreifer per iptables gesperrt und zwar für alle Ports. Das mache ich jetzt eben die die nächsten Wochen um weitere Angriffe zu erkennen und zu blockieren.
-
wäre schön, wenn pd-admin da eine integrierte Lösung mitbringt, um soetwas zu verhindern
-
Die gibt es derzeit nicht. Ich bin bei der Suche nach einer Lösung über folgenden Artikel gestoßen:
https://making.pusher.com/per-…e-limiting-with-iptables/
Kam aber bisher nicht dazu dies einmal umzusetzen. Und testen wird auch schwierig, da auf meinem VPS das Problem auf Port 465 nicht auftrat.
-
Folgende IP-Bereiche habe ich aktuell gesperrt, täglich kommen aber aktuell neue hinzu:
iptables -A INPUT -s 159.65.0.0/16 -j DROP
iptables -A INPUT -s 122.228.10.0/24 -j DROP
iptables -A INPUT -s 185.212.131.0/24 -j DROP
iptables -A INPUT -s 142.93.0.0/16 -j DROP
iptables -A INPUT -s 115.235.171.0/24 -j DROP
iptables -A INPUT -s 162.243.0.0/16 -j DROP
iptables -A INPUT -s 138.68.0.0/16 -j DROP
iptables -A INPUT -s 190.85/16 -j DROP
Des weiteren probiere ich aktuell mal an einer maschine ob ich damit das Problem etwas entschärfen kann:
Limit Connections per IP / Host, Only allow 3 connections per client host on Port 465
iptables -A INPUT -p tcp --syn --dport 465 -m connlimit --connlimit-above 3 -j REJECT
Nachtrag 26.10.18
Auf mindestens einem Server bei uns hat die Limitierung geholfen. Bei einem weiteren Angriff aus dem OVH Netz wurden nur drei Verbindungen geöffnet und der Dienst blieb für die Nutzer erreichbar.
Problematisch ist dies halt nur das die Angriffe auch verteilt kommen könnten und dann natürlich wieder der Dienst lahm gelegt werden könnte. Aber als aktuellen Workaround hilft das schonmal.