Hallo Leute!
Nun scheint es zu laufen.
Mein Dank an Sim für das Script und seinem Einsatz hier.
Mein Dank an Netcup für den problemlosen und schnellen Support.
Mein Dank an Rha für die Ermutigung mich an den Support zu wenden.
Ich war zuerst ein wenig zögerlich den Support zu nerven. Ich wollte zuerst ausschließen das es nicht doch an mir lag.
In diesem Fall war es die Firewall von Netcup. Alex hat ja noch mal auf den Artikel hingewiesen. Den hatte ich zwar gelesen, war aber wie gesagt im Zweifel ob das wirklich das Problem war.
Nun werde ich die Sache eine Weile beobachten ob die Regeln wirklich greifen.Meine Selbstversuche mit SSH und ftp haben aber schon gegriffen.
Allen einen schönen Abend
Gruß Jörn
Fail2Ban Script für die VCP API
- perryflynn
- Erledigt
-
-
Hallo Leute!
Entweder bin ich zu doof oder irgendetwas stimmt immer noch nicht.
Ich bekomme immer wieder diese Fehlermeldung:Code2012-08-12 01:35:10,032 fail2ban.actions: WARNING [ssh] Ban 77.176.221.78 2012-08-12 01:35:20,420 fail2ban.actions: WARNING [ssh] 77.176.221.78 already banned
Ich habe die verschiedensten Einstellungen ausprobiert. Aber irgendwie haut es einfach nicht hin. Werde mal Anfang der Woche mit dem Support Kontakt aufnehmen. Vielleicht können die mir sagen was ich falsch mache. An der Firewall kann es ja eigentlich nicht mehr liegen.
Gruß Jörn -
Ist die IP denn bereits in der Ban Liste von dem Script? Das sollte man auch prüfen Der Support kann das nicht beeinflussen, der Support kann ausschließlich die Firewall im VCP selbst betreuen / supporten.
-
Hallo!
Danke Alex für die Antwort.
Ich habe, bevor ich deine Antwort gelesen habe noch mal einige Versuche gemacht.
Ich glaube,ich habe meinen Fehler gefunden.
Bei meinen Selbstversuchen hatte ich mich ja selbst gebannt. Wenn ich dann über das VCP direkt den Eintrag in der Firewall gelöscht hatte, kammen beim nächsten Versuch diese Meldungen. Nun habe ich die Bannzeit für die Versuche gekürzt und lasse das Script alles tun.Nun klappen zumindest die Selbstversuche. Nun muss ich wieder warten, wie sich die Firewall oder das Script verhält, wenn Angriffe von außen kommen.
Melde mich wenn sich neues ergibt.
Gruß Jörn -
Fail2Ban bekommt das nicht mit wenn du im VCP Einträge löschst. Wenn du das machst musst du alle Einträge löschen und Fail2Ban neu starten. Eventuell kann man das in Version 2.0 meines Scripts noch besser lösen...
-
Ok, dann war das mein Fehler. Danke noch mal für den Hinweis. Und wenn man es weiss kann es ja auch so bleiben.
Ich hätte ja dem Script auch Bescheid sagen können
Ich wünsche noch einen schönen Sonntag
Gruß Jörn -
Hallo
Sorry, ich hoffe ich nerve nicht zu sehr.
Ich habe fail2ban neugestartet und in Ruhe gelassen. In der Firewall waren nur die Standardeinträge.Nach zwei Stunden kam die erste Aktion und hat nun folgenden Eintrag hinterlassen.
Code
Alles anzeigen2012-08-12 15:54:02,754 fail2ban.jail : INFO Jail 'apache-noscript' started 2012-08-12 15:54:02,756 fail2ban.jail : INFO Jail 'pam-generic' started 2012-08-12 15:54:02,757 fail2ban.jail : INFO Jail 'xinetd-fail' started 2012-08-12 15:54:02,758 fail2ban.jail : INFO Jail 'apache-404block' started 2012-08-12 15:54:02,758 fail2ban.jail : INFO Jail 'ssh-ddos' started 2012-08-12 15:54:02,759 fail2ban.jail : INFO Jail 'webserver-w00tw00t' started 2012-08-12 15:54:02,760 fail2ban.jail : INFO Jail 'apache-multiport' started 2012-08-12 15:54:02,760 fail2ban.jail : INFO Jail 'apache-overflows' started 2012-08-12 15:54:02,761 fail2ban.jail : INFO Jail 'couriersmtp' started 2012-08-12 15:54:02,762 fail2ban.jail : INFO Jail 'ssh' started 2012-08-12 15:54:02,762 fail2ban.jail : INFO Jail 'postfix' started 2012-08-12 15:54:02,763 fail2ban.jail : INFO Jail 'sasl' started 2012-08-12 15:54:02,764 fail2ban.jail : INFO Jail 'apache' started 2012-08-12 15:54:02,764 fail2ban.jail : INFO Jail 'courierauth' started 2012-08-12 15:54:02,765 fail2ban.jail : INFO Jail 'proftpd' started 2012-08-12 17:05:37,612 fail2ban.actions: WARNING [ssh] Ban 223.202.40.182 2012-08-12 17:05:50,674 fail2ban.actions: WARNING [pam-generic] Ban 223.202.40.182 2012-08-12 17:06:18,356 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned 2012-08-12 17:06:19,358 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
Diese IP ist durch das Script in der Firewall eingetragen worden.
Ist das nun normal oder ist da noch ein Fehler?
Firewalleinstellung im Anhang
Danke Euch
Gruß Jörn -
Hallo!
Nach vielen Versuchen scheint es im Augenblick zu laufen.
Jedenfalls hatte ich drei Banns und dort kam die Meldung nicht mehr.
Allerdings war das zwischendurch auch schon mal so und dann kamen die Meldungen plötzlich wieder.
Ich lasse mich jetzt erst mal Überraschen.
Sollte es stabil laufen veröffentliche ich meine Einstellungen hier damit auch andere etwas davon haben. Im Moment traue ich der Sache aber noch nicht so ganz
Gruß Jörn -
Eine Frage dazu an die Fachleute
zum besseren Verständnis
da bei mir hin und wieder Ähnliches auftritt.
der Quote soll nur als Beispiel sein ,
da ich gerade kein Beispiel habe.
2012-08-12 17:05:37,612 fail2ban.actions: WARNING [ssh] Ban 223.202.40.182
2012-08-12 17:05:50,674 fail2ban.actions: WARNING [pam-generic] Ban 223.202.40.182
2012-08-12 17:06:18,356 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned
2012-08-12 17:06:19,358 fail2ban.actions: WARNING [ssh] 223.202.40.182 already banned[/code]Wenn also fail2ban eine ip sperrt und auch in die FW einträgt,
dann dürften die letzen beiden Zeilen garnicht mehr erscheinen
also die mit "already banned"?
ist das also dann ein Zeichen dafür dass die FW eben nicht dropped?Danke im Voraus
michi
-
Da die beiden besagten Zeilen aber sehr kurz nach dem Ban kommen (innerhalb 0,7s) stelle ich mir die Frage, ob eventuell Laufzeiten oder Mehrfachverbindungen dafür verantwortlich sein könnten.
-
Bei mir ist es so, dass er 2-4 Banns macht, dann fängt das plötzlich mit den Fehlermeldungen already banned an und dann sperrt er mich auch nicht mehr bei meinen Selbstversuchen mit ssh.
Das kann doch nicht normal sein.
Weiß leider keinen Rat mehr. Mal überlegen, was ich jetzt unternehme. Server ist erst mal down.
Gruß Jörn -
ist bei mir nicht anders:(
obwohl durch das script in der FW eingetragen
kann ich mich immernoch per ssh eintragen -
editieren ging leider nicht deshalb:
hab gerade nochmal 5 tests gemacht und nun scheint es wirklich zu klappen
ich nehme also alles zurück
kein already banned in den logs und
auch kein connect mehr möglich -
Hallo,
ich hoffe mal ihr seid so lieb und helft mir: ich brauch Hilfe für eine regex.
Es sollen Kommentare von Wordpress reportet werden, wenn Sie als Spam markiert sind. Dazu würde blocklist.de die generierten Mails extra parsen (dazu muss bei denen eine extra Regel angelegt werden). Also wenn alles gut funktioniert, gebe ich das - denke ich - auch frei. Damit nicht nur ich profitiere.
Ich lasse ein Log erstellen.
Die Logstruktur ist wie folgt:Code2012-08-17 01:11:44 (GMT) from IP: 176.31.18.156 with User-Agent: Opera/9.00 (Windows NT 5.1; U; en) commentID: 19068 as author: nanqimuta content: Blablabla
Mal die Variablen gekennzeichnet:
Ich habe mir da mal folgendes zusammengedacht:
Kann das so als failregex funktionieren? Ich kann es bei mir nur schwer testen leider und RegExr arbeitet scheinbar etwas anders. -
schimmelmann & extremmichi
Ich habe leider auch wieder Probleme mit der Firewall. Nachdem erst alles korrekt lief, und dann das Script ein paar Drop-Regeln eingetragen hat, bleiben wieder ein paar Ports offen. Habe den Support per Formular im CCP kontaktiert. Solltet ihr ggf auch tun. Mein letzter (telefonischer) Kontakt zum Support war sehr freundlich. Ich glaube da reisst einem niemand den Kopf ab, auch wenn man evtl mal selber etwas nicht optimal umgesetzt hat (war so mein Eindruck). -
Hallo Leute!
Ich habe das Ganze jetzt erst mal entnervt zu den Akten gelegt. Egal welche Firewalleinstellungen nehme, 1 bis 2 Bans funktionieren, danach spinnt er und die Eingetragenen IP werden nicht mehr gebannt.
Ich belasse es jetzt erst mal bei der üblichen SSH-Sicherung mit Key, Verbot von Root-Access und verschieben des Ports.
Mit dem Rauschen muss ich dann halt leben.
Gruß Jörn -
Es ist die Frage, ob man mit "dem Rauschen" leben kann. Seitdem meine Firewall einmal so richtig offen war, haben sich wohl ein paar "tolle Leute" oder irgendwelche Bots meinen Server als Ziel ausgesucht. Nun habe ich den Effekt, das, sobald meine Firewall aufgeht, die System-Auslastung (ausgegeben mit top) immer wieder zwischen 3.5 und 7 liegt. Ich brauche wohl nicht dazu zu sagen, das der Server dann mehr als besch..... läuft. Solange die Firewall zu ist, habe ich eine Auslastung von <0.4 mit allen installierten Diensten und Servern (wenn auf meinem MC-Server niemand engeloggt ist).
-
Hallo RHA!
Läuft es jetzt bei dir?
Wenn ja, kannst du mir sagen, wo bei dir das Problem lag? Dann könnte ich mal schauen, ob mir das weiter hilft. Stehe echt auf der Leitung
Eben hat fail2ban wieder gegriffen, aber wie lange?
Gruß Jörn -
Sorry, aber bei mir läuft es auch noch nicht, habe noch keine Nachricht vom Support erhalten.
Ich denke nicht das es am Script liegt, aber warten wir mal die Antwort vom Support ab.
-
Hallo RHA!
Würdes du dann berichten, wenn du mehr weisst?