Na klar doch.
Fail2Ban Script für die VCP API
- perryflynn
- Erledigt
-
-
Bei mir siehts Momentan nicht besser aus:
download.pngCode
Alles anzeigen2012-08-20 13:34:33,963 fail2ban.actions: WARNING [ssh] Ban 211.71.233.2 2012-08-20 13:34:41,635 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:34:49,642 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:34:57,650 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:05,656 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:12,663 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:19,670 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:27,677 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:37,685 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:45,692 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:35:53,698 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:00,705 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:08,712 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:15,719 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:24,728 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:32,735 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:40,743 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:46,748 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:36:55,755 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:02,760 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:10,769 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:17,775 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:25,781 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:32,788 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:40,794 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:47,801 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:37:54,808 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:02,817 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:10,826 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:18,833 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:26,840 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:34,848 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:42,853 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:50,862 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:38:58,869 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:05,876 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:14,884 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:21,891 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:28,898 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:36,904 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:45,914 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:39:51,919 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:40:00,927 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned 2012-08-20 13:40:14,735 fail2ban.actions: WARNING [ssh] 211.71.233.2 already banned
Alle anderen geblockten IPs geben Momentan Ruhe. Das ist definitiv nicht normal.Bin auch an einer Lösung interessiert, da ich den Port vom SSHd nicht ändern kann.
Der muss auf 22 bleiben...Ich werde jetzt auch mal eine Mail an den Support schreiben.
-
Willkommen im Club
Und, SIM, teste mal, es könnte sein das Ports offen sind die laut FW eigentlich gesperrt sein sollten. Bei mir betrifft das z.B. den Port 80 und die Ports für TS3.
-
Zitat
2012-08-20 09:49:13,704 fail2ban.actions: WARNING [suhosin] Ban xxx.xxx.3.21
2012-08-20 09:49:16,151 fail2ban.actions: WARNING [suhosin] xxx.xxx.3.21 already banned
2012-08-20 09:49:18,154 fail2ban.actions: WARNING [suhosin] xxx.xxx.3.21 already banned
2012-08-20 09:49:19,155 fail2ban.actions: WARNING [suhosin] xxx.xxx.3.21 already banned
2012-08-20 09:49:21,157 fail2ban.actions: WARNING [suhosin] xxx.xxx.3.21 already banned
2012-08-20 09:49:22,159 fail2ban.actions: WARNING [suhosin] xxx.xxx.3.21 already bannedist jetzt nicht gerade die ssh
aber was nun gebannt oder nicht gebannt?
IP unkenntlich gemaxcht , da es sich hierbei um einen Scriptfehler bei mir handelte.evtl schaff ich es morgen zeitlich den support anzurufen
3 Tage hin und her mailen ist mir bei dem thema zu langwierigGruss
michi
-
Hallo!
Wenn es bei Sim auch nicht funktioniert, dann bin ich bezüglich meiner Doofheit etwas beruhigt.
Wenn ich meine IP selbst in die Firewall eintrage funktioniert es. Über das Script nicht.
Gruß Jörn -
Das ist süss : Auf meine Nachricht an den Support (Samstag) habe ich keine Antwort bekommen, dafür jetzt eine Abuse-Meldung, da mein Server zu hohe Auslastungen verursacht und die Resourcen verschlingt. Dies passiert aber (wie in der Meldung beschrieben) immer dann, wenn die Firewall aufgeht. Sonst läuft der Server gut. Bin leider im Aussendienst, und kann mich nicht ausreichend darum kümmern bzw. den Support anrufen. Habe erstmal die Dienste soweit geht abgeschaltet und fast alles in der FW gesperrt. Beobachte nun mal die Auslastung. Mal sehen was passiert.
-
Hallo!
Wenn es bei Sim auch nicht funktioniert, dann bin ich bezüglich meiner Doofheit etwas beruhigt.ich auch ;
dass sich netcup dazu bedeckt hält ist ja völlig legitim
bei dem Thema und ich denke die werden auch mit
Nachdruck daran arbeiten das zu lösen. Denn die
Lösung mit der dummy-Regel kann ja langfristig keine Lösung sein.
immerhin hab ich schon 5 Regeln vorher drin
und ne Individual-Lösung über den support schonmal garnicht .gruss
michi
-
Vielen Dank auch von mir!
-
Bitte.
Zu der Support Anfrage bin ich bisher noch nicht gekommen.
Ich versuche das diese Woche noch zu machen... -
Hallo Sim!
Hast du schon mit dem Support Kontakt aufgenommen?
Gruß Jörn -
Arg! Habe es leider verpennt. Ich sehr zu das ich morgen mal ne Mail fertig mache. Steht jetzt auf meiner ToDo.
-
Hallo Sim!
Vielen Dank
Gruß Jörn -
Moin, moin!
Dein Script berücksichtigt die Timezone-Einstellungen des Servers nicht!
In bestimmten Fällen kommt folgende Fehlermeldung zu Tage:
CodePHP Warning: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /etc/fail2ban/nc_firewallapi_beta.php on line 77 Firewall rule added.
Der Hinweis Firewall rule added kann hier auch nicht stimmen, das Script kommt nicht zur Ausführung und ein Eintrag ins VCP wird nicht ausgeführt.Abhilfe schafft eine simple Zeile zu Beginn Deines Scriptes:
Europe/Berlin muss dann an die Timezone-Konfiguration des Servers angepasst werden, hier im Beispiel Europe/Berlin.Des Weiteren hast Du in Deiner Installationsbeschreibung nicht erwähnt, dass man seine VCP-API-Zugangsdaten auch im nc_firewallapi_beta.php eintragen kann, sollte das Script mal die Konfigurationsdatei nicht finden (Zeile 24-45).
Öhm ja, von jail.conf ist die Rede.
Das solltest Du vielleicht, für Einige, in Deiner Installationsanweisung nicht nur kurz erwähnen, sondern auch erklären.Und noch etwas!
Schließt Du Deine Scripte generell nicht mit einem simplen ?> ? -
Hallo Thomas!
Ich habe jetzt mal deine vorgeschlagenen Änderungen in das Script eingefügt. An der Grundproblematik hat sich aber trotzdem nichts geändert. Das Script trägt ja die IP ein. Aber die Regel greift nicht. Trage ich die IP mit den gleichen Einstellungen direkt in die Firewall ein klappt es sofort und die IP wird gesperrt.
Hast du vielleicht eine Ahnung woran das liegen könnte?
Gruß Jörn -
Ich glaube da hast Du etwas falsch verstanden!
Der Fix bezieht sich nicht auf Dein Problem, sondern war/ist ein allgemeines Problem.
Wenn ich ehrlich bin, habe ich Euer Problem noch nicht genauer gelesen. Ich war gerade dabei eine neue Installation abzusichern, wo mein angesprochener Fehler auftrat. Kurz nach einer Lösung gesucht und dachte mir ich schreib das einfach mal hier rein. -
Wozu das Script anpassen, wenn man die Zeitzone auch in der php.ini setzen kann?
-
Hmmm, dachte ich auch erst und hatte den Eintrag in der php.ini für fpm eingetragen!
php-fpm läuft auch, jedenfalls werden die Pools für den Webuser bereit gehalten, daher gehe ich davon aus, dass das funktioniert.
In der php.ini für cli hatte ich es nicht drin stehen, dort habe ich es jetzt nachgetragen und die Fehlermeldung ist weg.Macht mich jetzt etwas stutzig, normal sollte der Eintrag in fpm reichen. Mal sehen ob ich darüber Infos finde.
-
Macht mich jetzt etwas stutzig, normal sollte der Eintrag in fpm reichen. Mal sehen ob ich darüber Infos finde.
Was haben CLI-Scripte mit FPM zu tun? Dabei werden unterschiedliche php.ini verwendet. -
Moin,
ich bin der Meinung das die Einstellung der Zeitzone nichts in meinem Script zu suchen hat. Das muss der Server Administrator in der php.ini einstellen. Es gibt sicherlich auch Kunden die in einer anderen Zeitzone leben.
Ich beende meine Scripte nie mit einem ?> da es einfach nicht nötig ist. Selbst die PHP Core Devs haben mal irgendwo geschrieben das man das Endtag in einer reinen php Datei nicht nutzen muss. Auch die Zend Devs nutzen das nicht bzw nur selten.
Die Konfiguration werde ich bei Gelegenheit mal genauer erklären. Es stehen sowieso noch ein paar kleinere Änderungen am Script an.
-
Arrrrg, man sollte auch vorher mal den Kopf einschalten! Es ist Sonntag heute.
CLI ist für die Ausführung von PHP in der Kommandozeile, logischer Weise muss man dann dort auch die php.ini anpassen.
Macht das aber einer nicht, so könnte man das mit dem oberen Fix umgehen.
How ever!