Hallo zusammen,
wie die Überschrift schon sagt, blockte fail2ban die eigene Serverip.
ursprünglich kam der Angriff von einer ganz anderen IP per shellshock.
access.log:
Code
v2201234567890.yourvserver.net:80 5.45.73.XX - - [03/Oct/2015:17:30:54 +0200] "GET /?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;id;echo @ HTTP/1.0" 200 454 "() { :; };
echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;id;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;id;echo @"
fail2ban versuchte dann meine IP zu sperren , was nicht funktionierte vermutlich durch die FW-Rules
fail2ban.log:
Code
2015-10-03 17:30:56,643 fail2ban.actions: WARNING [shellshock] Ban 46.38.233.XX
2015-10-03 17:30:57,182 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-shellshock returned 100
2015-10-03 17:30:57,208 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2015-10-03 17:30:57,231 fail2ban.actions.action: ERROR iptables -N fail2ban-shellshock
iptables -A fail2ban-shellshock -j RETURN
iptables -I INPUT -p tcp -m multiport --dports all -j fail2ban-shellshock returned 200
Eigentlich sollte die shellshock-Lücke geschlossen sein.
Ich kann mir das nur so erklären , dass der o.g. Code auch ausgeführt wurde.
Kann mir jemand erklären was hier passiert ist?
Danke im Voraus
Michi