Logwatch - Illegal users from

  • Illegal users from:
    undef: 1365 times


    Servus, oben seht ihr mein aktuelles Problem. Ich denke dass ich nicht viel dazu sagen muss und wollte euch mal fragen was ich zur Sicherheit machen sollte?


    lg. Alex

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


  • Ich habe nun fail2ban installiert und siehe da, in der Logdatei steht geschrieben dass bereits eine IP gebannt wurde.


    Code
    2014-02-19 10:04:33,333 fail2ban.actions: WARNING [ssh] Ban 218.2.22.133



    Edit: Hier noch ein paar IP-Adressen die ich in den SSH-Logs beim Überfliegen herausgefischt habe.


    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


    Einmal editiert, zuletzt von ensky_eu ()

  • Was mich momentan noch wundert ist dass ich keine E-Mail zugesandt bekomme (von Fail2Ban) obwohl ich das eingerichtet habe, wo könnte da denn ein Fehler liegen?


    lg.

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


  • Ja es läuft Postfix in Verbindung mit Dovecot.


    Mail kommt an :)


    Reverse DNS ist auch gesetzt.
    In den Logs fällt mir nichts ungewähnliches auf.


    lg.
    Alex

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


  • Guten Morgen zusammen,


    ich habe meine hier:



    wichtig ist: action = %(action_mw)s
    Hier wird ferstgelegt das eine Mail verschickt wird.


    edit:// Auserdem habe ich SSH nicht auf dem normalen Port laufen. Die meisten Bots prüfen nur die Standartports (in dem Fall ja 22) und machen nicht einen Kompletten Portscan. Also ich habe bei weitem nicht so viele fehlgeschlagenen logins. Bei mir blockt fail2ban eher IPs die versuchen Mails zu versenden (OpenRelay)


    viele Grüße


    dergeberl

  • Bis auf das dass die Bantime bei mir nicht bei einer Minute sondern bei einer Stunde liegt sieht die Konfiguration gleich aus.

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


  • Ich hab oben bereits geschrieben dass mir nichts aufgefallen wäre.
    Gibt es denn eine Möglichkeit eine Mail Testweise von fail2ban verschicken zu lassen?


    lg.

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


  • Oh sry habe ich dann wohl überlesen :)


    Mir ist keine bekannt deshalb die bantime von 1 min. Logge dich halt mal 5 mal falsch ein dann musst halt ne min warten
    Bzw. fail2ban verschickt auch Mails wenn f2b neu gestartet wird. Beende den Dienst und Starte ihn wieder so sollten auch Mails erzeugt werden!


    viele Grüße

  • Ich habe so eben die Konfiguration nochmal durchgesehen und bemerkt dass "action = %(action_mwl)s" wirklich nicht gesetzt war. Ich lasse mir übrigens direkt den Whois mitsenden.


    Eine Frage habe ich noch, ich habe gerade eine Mail von fail2ban bekommen. Die Absender-Adresse ist "fail2ban@srva.domain.tld". Dies zieht sich durchs ganze System (das "srva.domain.tld").
    Ich habe jedoch vor einer Zeit komplett auf "domain.tld" umgestellt (Reverse, Hostname, etc) jedoch wird dies bei Mails die vom Server versendet werden nicht übernommen.
    Muss ich dies extra irgendwo umstellen? In die Postfix Config habe ich bereits geguckt, dort steht auch schon die neue Domain drin.


    lg.
    Alex

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."


  • Das ist eine gute Frage.
    Ich weiß nicht woher f2b diese Mailadresse bekommt. Evtl. /etc/mailname ?


    viele Grüße


    Danke, genau dort lag der Fehler :)

    [size=10]

    "This is Linux land. In silent nights you can hear the Windows machines rebooting."