<div dir="ltr"><div><div><div>Hi,<br><br></div>Thanks! It seems flood is now over. We might clean list with Ari later on (manually, about 10+ false emails).<br><br></div>Rgs,<br><br></div>Pekka<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><p><span style="font-size:12.8000001907349px">Pekka Sarkola<br></span><span style="font-size:12.8000001907349px">Gispo Oy<br></span><a href="mailto:pekka.sarkola@gispo.fi" style="font-size:12.8000001907349px" target="_blank">pekka.sarkola@gispo.fi</a><span style="font-size:12.8000001907349px">   -
GSM +358 40 725 2042<br></span><a href="http://www.gispo.fi/" style="font-size:12.8000001907349px" target="_blank">www.gispo.fi</a><span style="font-size:12.8000001907349px"> – </span><a href="http://www.paikkatieto.com/" style="font-size:12.8000001907349px" target="_blank">www.paikkatieto.com</a></p></div></div></div></div></div></div></div>
<br><div class="gmail_quote">2015-11-25 10:28 GMT+02:00 Markus Neteler <span dir="ltr"><<a href="mailto:neteler@osgeo.org" target="_blank">neteler@osgeo.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Ari,<br>
<span class=""><br>
On Tue, Nov 24, 2015 at 11:18 PM, Ari Jolma <<a href="mailto:ari.jolma@gmail.com">ari.jolma@gmail.com</a>> wrote:<br>
> Hi,<br>
><br>
> I manage the osgeo finland list with Pekka Sarkola. During the last 24 hours<br>
> there has been over one hundred subscription attempts to the list from email<br>
> addresses, which are more or less obviously fake.<br>
<br>
</span>Yes, I see them in the logs.<br>
<br>
They use some mailman hole I believe:<br>
<br>
lists_ssl_access.log:14.177.51.185 - - [24/Nov/2015:06:55:01 -0800]<br>
"GET /mailman/subscribe/fdo-commits?email=<a href="mailto:nnstrawberry03@hotmail.com">nnstrawberry03@hotmail.com</a>&fullname=&pw=123456789&pw-conf=123456789&language=en&digest=0&email-button=Subscribe<br>
HTTP/1.1" 200 1101 "<a href="http://50.87.144.16/~timvui/boom/" rel="noreferrer" target="_blank">http://50.87.144.16/~timvui/boom/</a>" "Mozilla/5.0<br>
(Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"<br>
...<br>
(several thousand log entries like that).<br>
<br>
I have now tuned my fail2ban filter for that. According to<br>
<br>
tail -f /var/log/apache2/lists_ssl_access.log<br>
and<br>
tail -f /var/log/fail2ban.log<br>
<br>
it works now:<br>
<br>
2015-11-25 00:24:25,743 fail2ban.actions[3142]: WARNING<br>
[apache-mailman] Ban 42.118.196.185<br>
2015-11-25 00:24:25,752 fail2ban.actions[3142]: WARNING<br>
[apache-mailman] Ban 14.215.227.66<br>
2015-11-25 00:24:25,760 fail2ban.actions[3142]: INFO<br>
[apache-mailman] 42.118.196.185 already banned<br>
2015-11-25 00:24:26,762 fail2ban.actions[3142]: INFO<br>
[apache-mailman] 42.118.196.185 already banned<br>
...<br>
<br>
Let me know if the mess continues. We are under some attack at time,<br>
also the Wiki site.<br>
<br>
Best<br>
Markus<br>
<br>
--<br>
<a href="http://consulting.neteler.org" rel="noreferrer" target="_blank">http://consulting.neteler.org</a><br>
<a href="http://gis.cri.fmach.it/neteler/" rel="noreferrer" target="_blank">http://gis.cri.fmach.it/neteler/</a><br>
<a href="http://courses.neteler.org/blog" rel="noreferrer" target="_blank">http://courses.neteler.org/blog</a><br>
_______________________________________________<br>
Sac mailing list<br>
<a href="mailto:Sac@lists.osgeo.org">Sac@lists.osgeo.org</a><br>
<a href="http://lists.osgeo.org/mailman/listinfo/sac" rel="noreferrer" target="_blank">http://lists.osgeo.org/mailman/listinfo/sac</a></blockquote></div><br></div>