Fail2Ban Script für die VCP API

  • Hallo Leute!
    Nun scheint es zu laufen.
    Mein Dank an Sim für das Script und seinem Einsatz hier.
    Mein Dank an Netcup für den problemlosen und schnellen Support.
    Mein Dank an Rha für die Ermutigung mich an den Support zu wenden.
    Ich war zuerst ein wenig zögerlich den Support zu nerven. Ich wollte zuerst ausschließen das es nicht doch an mir lag.
    In diesem Fall war es die Firewall von Netcup. Alex hat ja noch mal auf den Artikel hingewiesen. Den hatte ich zwar gelesen, war aber wie gesagt im Zweifel ob das wirklich das Problem war.
    Nun werde ich die Sache eine Weile beobachten ob die Regeln wirklich greifen.Meine Selbstversuche mit SSH und ftp haben aber schon gegriffen.
    Allen einen schönen Abend :)
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Hallo Leute!
    Entweder bin ich zu doof oder irgendetwas stimmt immer noch nicht.
    Ich bekomme immer wieder diese Fehlermeldung:

    Code
    2012-08-12 01:35:10,032 fail2ban.actions: WARNING [ssh] Ban 77.176.221.78
    2012-08-12 01:35:20,420 fail2ban.actions: WARNING [ssh] 77.176.221.78 already banned


    Ich habe die verschiedensten Einstellungen ausprobiert. Aber irgendwie haut es einfach nicht hin. Werde mal Anfang der Woche mit dem Support Kontakt aufnehmen. Vielleicht können die mir sagen was ich falsch mache. An der Firewall kann es ja eigentlich nicht mehr liegen.
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Hallo!
    Danke Alex für die Antwort.
    Ich habe, bevor ich deine Antwort gelesen habe noch mal einige Versuche gemacht.
    Ich glaube,ich habe meinen Fehler gefunden.
    Bei meinen Selbstversuchen hatte ich mich ja selbst gebannt. Wenn ich dann über das VCP direkt den Eintrag in der Firewall gelöscht hatte, kammen beim nächsten Versuch diese Meldungen. Nun habe ich die Bannzeit für die Versuche gekürzt und lasse das Script alles tun.Nun klappen zumindest die Selbstversuche. Nun muss ich wieder warten, wie sich die Firewall oder das Script verhält, wenn Angriffe von außen kommen.
    Melde mich wenn sich neues ergibt.
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Ok, dann war das mein Fehler. Danke noch mal für den Hinweis. Und wenn man es weiss kann es ja auch so bleiben. :)
    Ich hätte ja dem Script auch Bescheid sagen können ;)
    Ich wünsche noch einen schönen Sonntag
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Hallo
    Sorry, ich hoffe ich nerve nicht zu sehr.
    Ich habe fail2ban neugestartet und in Ruhe gelassen. In der Firewall waren nur die Standardeinträge.


    Nach zwei Stunden kam die erste Aktion und hat nun folgenden Eintrag hinterlassen.



    Diese IP ist durch das Script in der Firewall eingetragen worden.
    Ist das nun normal oder ist da noch ein Fehler?
    Firewalleinstellung im Anhang :)
    Danke Euch
    Gruß Jörn

  • Hallo!
    Nach vielen Versuchen scheint es im Augenblick zu laufen.
    Jedenfalls hatte ich drei Banns und dort kam die Meldung nicht mehr.
    Allerdings war das zwischendurch auch schon mal so und dann kamen die Meldungen plötzlich wieder.
    Ich lasse mich jetzt erst mal Überraschen.
    Sollte es stabil laufen veröffentliche ich meine Einstellungen hier damit auch andere etwas davon haben. Im Moment traue ich der Sache aber noch nicht so ganz :)
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Eine Frage dazu an die Fachleute
    zum besseren Verständnis ;)
    da bei mir hin und wieder Ähnliches auftritt.
    der Quote soll nur als Beispiel sein ,
    da ich gerade kein Beispiel habe.


    2012-08-12 17:05:37,612 fail2ban.actions: WARNING [ssh] Ban 223.202.40.182
    2012-08-12 17:05:50,674 fail2ban.actions: WARNING [pam-generic] Ban 223.202.40.182
    2012-08-12 17:06:18,356 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
    2012-08-12 17:06:19,358 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned[/code]

    Wenn also fail2ban eine ip sperrt und auch in die FW einträgt,
    dann dürften die letzen beiden Zeilen garnicht mehr erscheinen
    also die mit "already banned"?
    ist das also dann ein Zeichen dafür dass die FW eben nicht dropped?


    Danke im Voraus


    michi

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Da die beiden besagten Zeilen aber sehr kurz nach dem Ban kommen (innerhalb 0,7s) stelle ich mir die Frage, ob eventuell Laufzeiten oder Mehrfachverbindungen dafür verantwortlich sein könnten.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Bei mir ist es so, dass er 2-4 Banns macht, dann fängt das plötzlich mit den Fehlermeldungen already banned an und dann sperrt er mich auch nicht mehr bei meinen Selbstversuchen mit ssh.
    Das kann doch nicht normal sein.
    Weiß leider keinen Rat mehr. Mal überlegen, was ich jetzt unternehme. Server ist erst mal down.
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • ist bei mir nicht anders:(
    obwohl durch das script in der FW eingetragen
    kann ich mich immernoch per ssh eintragen

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • editieren ging leider nicht deshalb:
    hab gerade nochmal 5 tests gemacht und nun scheint es wirklich zu klappen
    ich nehme also alles zurück ;)
    kein already banned in den logs und
    auch kein connect mehr möglich

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Hallo,


    ich hoffe mal ihr seid so lieb und helft mir: ich brauch Hilfe für eine regex.


    Es sollen Kommentare von Wordpress reportet werden, wenn Sie als Spam markiert sind. Dazu würde blocklist.de die generierten Mails extra parsen (dazu muss bei denen eine extra Regel angelegt werden). Also wenn alles gut funktioniert, gebe ich das - denke ich - auch frei. Damit nicht nur ich profitiere.


    Ich lasse ein Log erstellen.
    Die Logstruktur ist wie folgt:

    Code
    2012-08-17 01:11:44 (GMT) from IP: 176.31.18.156 with User-Agent: Opera/9.00 (Windows NT 5.1; U; en) commentID: 19068 as author: nanqimuta content: Blablabla


    Mal die Variablen gekennzeichnet:


    Code
    * (GMT) from IP: * with User-Agent: * commentID: * as author: * content: *


    Ich habe mir da mal folgendes zusammengedacht:

    Code
    ^\s*(GMT) from IP: <HOST> with User-Agent:[^]commentID: \d content:[^]


    Kann das so als failregex funktionieren? Ich kann es bei mir nur schwer testen leider und RegExr arbeitet scheinbar etwas anders.

  • schimmelmann & extremmichi
    Ich habe leider auch wieder Probleme mit der Firewall. Nachdem erst alles korrekt lief, und dann das Script ein paar Drop-Regeln eingetragen hat, bleiben wieder ein paar Ports offen. Habe den Support per Formular im CCP kontaktiert. Solltet ihr ggf auch tun. Mein letzter (telefonischer) Kontakt zum Support war sehr freundlich. Ich glaube da reisst einem niemand den Kopf ab, auch wenn man evtl mal selber etwas nicht optimal umgesetzt hat (war so mein Eindruck).

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Hallo Leute!
    Ich habe das Ganze jetzt erst mal entnervt zu den Akten gelegt. Egal welche Firewalleinstellungen nehme, 1 bis 2 Bans funktionieren, danach spinnt er und die Eingetragenen IP werden nicht mehr gebannt.
    Ich belasse es jetzt erst mal bei der üblichen SSH-Sicherung mit Key, Verbot von Root-Access und verschieben des Ports.
    Mit dem Rauschen muss ich dann halt leben.
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Es ist die Frage, ob man mit "dem Rauschen" leben kann. Seitdem meine Firewall einmal so richtig offen war, haben sich wohl ein paar "tolle Leute" oder irgendwelche Bots meinen Server als Ziel ausgesucht. Nun habe ich den Effekt, das, sobald meine Firewall aufgeht, die System-Auslastung (ausgegeben mit top) immer wieder zwischen 3.5 und 7 liegt. Ich brauche wohl nicht dazu zu sagen, das der Server dann mehr als besch..... läuft. Solange die Firewall zu ist, habe ich eine Auslastung von <0.4 mit allen installierten Diensten und Servern (wenn auf meinem MC-Server niemand engeloggt ist).

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Hallo RHA!
    Läuft es jetzt bei dir?
    Wenn ja, kannst du mir sagen, wo bei dir das Problem lag? Dann könnte ich mal schauen, ob mir das weiter hilft. Stehe echt auf der Leitung :(
    Eben hat fail2ban wieder gegriffen, aber wie lange?
    Gruß Jörn

    Zitat

    Webhosting Spezial Mini Aktion +++ Webhosting 8000 SE Aktion

    VPS 200 G8 +++ Root-Server Spring 2019

  • Sorry, aber bei mir läuft es auch noch nicht, habe noch keine Nachricht vom Support erhalten.


    Ich denke nicht das es am Script liegt, aber warten wir mal die Antwort vom Support ab.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.