Also ich hatte es gestern auch mal wieder, das plötzlich ALLE Ports offen waren, und die FW irgendwie ignoriert wurde (den Bug hatte ich schon öfter, sollte mit der neuen FW eigentlich vorbei sein). Ich merke das immer schnell, da Port 80 bei mir eigentlich ZU ist. Kann ich die Index-Seite von ispCP erreichen, weiss ich, das die FW nicht korrekt funktioniert. Nach einem Neustart des Serves war alles wieder in Ordnung.
Fail2Ban Script für die VCP API
- perryflynn
- Erledigt
-
-
Kann keinen Fehler erkennen.
Schick mal ne Mail an den Support. -
So Mail ist weg.
Was ich nicht verstehe gestern hat das sehr gut funktioniert nur jetzt auf einmal nicht....EDIT:
Das lustigste ist wen ich die einzenden Ports die ich in den Regeln freigebe deaktiviere sind dies gespert.. zumindest das funktioniert.
-
Ihr Ticket ist in Bearbeitung, es liegt an diesem Thema Wichtige Informationen zur VCP Firewall Sobald Sie eine Antwort auf Ihr Ticket erhalten wird das Problem nicht mehr bestehen
-
hej ho
Das habe ich mir schon fast gedacht. Gibt es den eine möglichkeit jetzt die IP 46.38.232.136 zu speren?
Den SSH port ist nicht freigegeben (zumindest komme ich nicht drauf) und trotzdem habe ich die ganze zeit:Code
Alles anzeigenSep 29 22:03:12 ufoserver sshd[8138]: error writing /proc/self/oom_adj: Permission denied Sep 29 22:03:13 ufoserver sshd[8138]: Invalid user nagios from 46.38.232.136 Sep 29 22:03:13 ufoserver sshd[8138]: pam_unix(sshd:auth): check pass; user unknown Sep 29 22:03:13 ufoserver sshd[8138]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=v220110589325505.yourvserver.net Sep 29 22:03:14 ufoserver sshd[8138]: Failed password for invalid user nagios from 46.38.232.136 port 34797 ssh2 Sep 29 22:03:14 ufoserver sshd[8307]: error writing /proc/self/oom_adj: Permission denied Sep 29 22:03:15 ufoserver sshd[8307]: Invalid user nagios from 46.38.232.136 Sep 29 22:03:15 ufoserver sshd[8307]: pam_unix(sshd:auth): check pass; user unknown Sep 29 22:03:15 ufoserver sshd[8307]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=v220110589325505.yourvserver.net Sep 29 22:03:17 ufoserver sshd[8307]: Failed password for invalid user nagios from 46.38.232.136 port 35012 ssh2 Sep 29 22:03:17 ufoserver sshd[8449]: error writing /proc/self/oom_adj: Permission denied Sep 29 22:03:17 ufoserver sshd[8449]: Invalid user nagios from 46.38.232.136 Sep 29 22:03:17 ufoserver sshd[8449]: pam_unix(sshd:auth): check pass; user unknown Sep 29 22:03:17 ufoserver sshd[8449]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=v220110589325505.yourvserver.net Sep 29 22:03:19 ufoserver sshd[8449]: Failed password for invalid user nagios from 46.38.232.136 port 35226 ssh2 Sep 29 22:03:19 ufoserver sshd[8585]: error writing /proc/self/oom_adj: Permission denied Sep 29 22:03:19 ufoserver sshd[8585]: Invalid user nagios from 46.38.232.136 Sep 29 22:03:19 ufoserver sshd[8585]: pam_unix(sshd:auth): check pass; user unknown Sep 29 22:03:19 ufoserver sshd[8585]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=v220110589325505.yourvserver.net Sep 29 22:03:20 ufoserver sshd[8585]: Failed password for invalid user nagios from 46.38.232.136 port 35439 ssh2 Sep 29 22:03:20 ufoserver sshd[8729]: error writing /proc/self/oom_adj: Permission denied Sep 29 22:03:20 ufoserver sshd[8729]: Invalid user nagios from 46.38.232.136 Sep 29 22:03:20 ufoserver sshd[8729]: pam_unix(sshd:auth): check pass; user unknown Sep 29 22:03:20 ufoserver sshd[8729]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=v220110589325505.yourvserver.net Sep 29 22:03:22 ufoserver sshd[8729]: Failed password for invalid user nagios from 46.38.232.136 port 35641 ssh2
.... das geht kilometer so weiter in der LOG.....pro sec 2 versuche.....
EDIT...
Was mir grade mal so auffät... die ip ist meirner IP SEHR ähnlich @ AlexCode
Alles anzeigenDetails zur IP-Adresse 46.38.232.136 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '46.38.224.0 - 46.38.239.255' inetnum: 46.38.224.0 - 46.38.239.255 netname: NETCUP_NET-1 descr: netcup GmbH country: DE admin-c: OW395-RIPE tech-c: OW395-RIPE status: ASSIGNED PA remarks: INFRA-AW mnt-by: NETCUP-MNT source: RIPE # Filtered % Information related to '46.38.224.0/20AS197540' route: 46.38.224.0/20 descr: NETCUP-GMBH origin: AS197540 mnt-by: NETCUP-MNT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.19.9 (WHOIS2)
-
Ggf. eine Abusemeldung dazu schreiben an abuse@netcup.de wie im Handle einsehbar Bis dahin (Ticket Rückmeldung) die im verlinkten Thema bereits genannten Lösungswege anwenden.
-
Hallo,
ich konnte das FirewallApi Skript wunderbar in Betrieb nehmen, scheitere jedoch bei der Integrierung durch Fail2ban. Mit der von mir angepassten jail.local und iptables-multiport.conf verweigert fail2ban das starten und logt auch auf Stufe 4 nichts in /var/log/fail2ban.log. Wenn ich /etc/fail2ban umbennene und fail2ban über apt-get neu installiere startet es wieder. Sieht jemand meinen Fehler in den config-Dateien oder kann villeicht seine bereit stellen ?
Meine jail.local
Code
Alles anzeigen[DEFAULT] ignoreip = 127.0.0.1 bantime = 600 maxretry = 3 backend = polling destemail = root@localhost banaction = iptables-multiport mta = sendmail protocol = tcp action = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s] [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 2
iptables-multiport.conf
Code
Alles anzeigen[Definition] actionban = php -f /etc/fail2ban/firewallapi.php add INPUT "<ip>" DROP "F2B-NC" actionunban = php -f /etc/fail2ban/firewallapi.php delete INPUT "<ip>" DROP [Init] name = default port = ssh protocol = tcp
Der Übersicht halber ohne Kommentare, ich habe leider keine Spoilerfunktion gefunden.
Grüße
Slowly
-
Also ich habe es gerade mal versucht einzurichten und es hat auf Anhieb geklappt.
Ich habe die Standard config benutzt und nur das abgeändert, was in der Anleitung stand. Mir ist aufgefallen, dass aber die anderen Aktionen in der iptables-multiport.conf ganz auskommentiert sind, sondern einen Leeren Wert zugeordnet sind: -
Vielen Danke thunderwave,
das war tatsächlich der Fehler. Nach dem zuweisen der Aktionen auf ein Leerzeichen anstatt sie ganz auszukommentieren startet der Dienst und fail2ban funktioniert mit dem Skript wunderbar.
Grüße
Slowly
-
Ich hab gerade gemerkt, dass das Script bei mir nicht mehr funktioniert. Ich hab die Version 0.1.0. Wenn ich es manuel ausführe kommt folgende Fehlermeldung:
Code
Alles anzeigen# php -f /etc/fail2ban/nc_firewallapi_beta.php add INPUT "10.0.0.1" DROP Add firewall rule for 10.0.0.1 Failure! object(stdClass)#2 (1) { ["return"]=> object(stdClass)#3 (2) { ["message"]=> string(16) "validation error" ["success"]=> bool(false) } }
Die hinterlegten Zugangsdaten sind richtig und es gibt auch keine fehlgeschlagene Loginversuche im VCP.
Hat jemand dies Problem auch. Wird das Script noch weiterentwickelt?
-
Ich hab gerade gemerkt, dass das Script bei mir nicht mehr funktioniert. [...]
Die hinterlegten Zugangsdaten sind richtig und es gibt auch keine fehlgeschlagene Loginversuche im VCP.
Hab wohl verschlafen das zur Nutzung des Script neuerdings der "Webservice" im VCP aktiviert werden muss. Ein Blick in die Anleitung hat geholfen. -
Lol, neuerdings ist gut.
Das Script ist gerade für diesen Webservice gemacht, und der musste schon immer aktiviert werden. -
Das Script war nun einige Wochen offline, da ich es schlichtweg vergessen habe. Nutzen tut es wahrscheinlich eh so gut wie niemand mehr... Jedenfalls ist es jetzt über Github unter der alten URL (mod_rewrite FTW) zu finden.
-
Ohh doch ich bin noch treuer Kunde von dir
-
Ich zur Zeit auch noch.
-
Ich nutze das Script auch noch.
Nur habe ich seit einiger Zeit das "Problem", dass ich beim löschen einer Firewallregel eine Fehlermeldung bekomme:
Über Konsole:Code
Alles anzeigenserver1:/etc/fail2ban# php -f firewallapi.php delete INPUT 42.42.42.42 DROP Delete firewall rule for 42.42.42.42 Failure! object(stdClass)#4 (1) { ["return"]=> object(stdClass)#5 (2) { ["message"]=> string(14) "generall error" ["success"]=> bool(false) } }
Über Fail2Ban_log:
Code2013-06-30 09:32:32,049 fail2ban.actions: WARNING [ssh] Unban 37.143.14.13 2013-06-30 09:32:32,341 fail2ban.actions.action: ERROR php -f /etc/fail2ban/firewallapi.php delete INPUT "37.143.14.13" DROP returned 100
Das Script funktioniert aber trotzdem! Ich erhalte halt nur beim Löschen immer die Fehlermeldung.
-
Ich habe leider keinen Linux-vServer mehr, da ich gezwungen war alles zu migrieren.
Kann also leider nicht selbst testen.Falls Du eine Lösung findest, einfach bescheid sagen.
Dann checke ich das ein. -
hallo,
bekomme nach der installation auch die fehlermeldung beim automatischen hinzufügen:2013-08-22 13:24:13,184 fail2ban.actions: WARNING [apache-404block] Ban 89.204.xxx.xxx
2013-08-22 13:24:13,223 fail2ban.actions.action: ERROR php -f /etc/fail2ban/firewallapi.php add INPUT "89.204.xxx.xxx" DROP returned 100und es wird kein eintrag in der firewall erzeugt.
tippe ich aber manuell in der console:
php -f /etc/fail2ban/action.d/firewallapi.php add INPUT 42.42.42.42 DROP "a comment"
ein, klappt alles wunderbar!?????????
hat jemand einen tipp, wie man das beheben kann?
danke!
Zitatfehler gefunden! pfad war falsch!!!!!
-
Super, dann klappt ja wieder alles.