Weltkarte - Server - Dashboard - Map

tom434 · 20. Dezember 2022

Zitat von H6G
Was?

Was für blöde Kommentare? Ich gehe nur auf die Ausgabe von docker ps ein.

Heißt nun mal so: NAT und Port Forwarding.

Und der Caddy Reverse Proxy ist ein Container, den du einsetzt:
Code
e006267990ed   lucaslorentz/caddy-docker-proxy
Warum denn der Stimmungsbruch?
Alles anzeigen

Ist mir auch absolut unverständlich - hab mir meine Antworten durch gelesen und konnte nichts provoziertes finden (bis vielleicht ein wenig die vorletzten - die aber auch alle Lösungen beinhaltet hat...)

-

Ich zumindest werde auf keinen Kommentar/Frage vob KrisAusEU eingehen - dafür ist mir meine Zeit zu Schade - (hab gerade noch eine tolle Funktion dazu gefunden )

(Das Verhalten ist mir bei ihm schon häufiger aufgefallen )

Würde auch jedem anderen dazu raten, der sich einen angemessen Reaktion auf kostenlose Hilfe wünscht

mfnalex · 21. Dezember 2022

Lies doch einfach die Readme, dann weißt du doch dass du selber ne env-File zu schreiben hast.

Wenn du ne One-Click-Lösung haben möchtest: für 150€ pro Stunde hilft dir sicher gern jemand weiter. Wenn dir das zu teuer ist musst du halt wenigstens die Docs lesen

btw wer ist „Herr Kofler“?

JQHiggins · 21. Dezember 2022

Ich kann dir hier genau wie die anderen jetzt nur raten, sich das alles einfach mal in Ruhe anzuschauen, Doku zu lesen, zu überlegen wie es werden soll und erstmal zu testen.

Ich mache mir ja jetzt eher Sorgen um deine Server, wenn du andere Dinge auch so handhabst.

Mit Herr Kofler ist wohl Michael Kofler gemeint, der Autor des bekannten Buches über Linux, wie von aRaphael verlinkt:

Zitat von aRaphael

Sicher.

HowTo Linux

HowTo Docker

aRaphael · 21. Dezember 2022

Wobei das jetzt nicht notwendigerweise eine persönliche Empfehlung war.

Ich habe einfach die dicksten Bücher zum Thema verlinkt, die ich auf die Schnelle gefunden habe.

(Aber den Linux-Kofler habe ich tatsächlich selbst auch im Regal )

KrisAusEU · 23. Dezember 2022

Sorry, wenn ich jemand auf den Schlips getreten bin oder die falschen Worte gewählt habe. Aber es ist einfach nur frustrierend, wenn nach stundenlanger Lektüre von Tutorials und Konsum von YT-Videos (wobei es zu dem Thema ja nicht wirklich viel gibt), es trotzdem nicht funktioniert.. Und dann fragt man in einem Forum nach, und bekommt als Antwort "RTFM" oder "steht doch da"..

Naja, zumindest das Grundgerüst (Grafana + Prometheus) läuft jetzt - auf einem H Server in Oregon..

Ich komme über http://IP:3000 zu Grafana und über http://IP:9090 zu Prometheus.. Das ist aber auch nur eine Fertiglösung, nennt sich Endlessh bzw. Tarpit, und zeigt mir die Anfragen aus aller Welt auf SSH-Port 22 an (den gibts nicht mehr, hab den auf 40000+x geändert).

Ich will ja aber eigentlich die Daten meines RS hier auswerten. Reicht da jetzt der NodeExporter oder muss ich noch einen weiteren Prometheus Server installieren und mit Grafana verbinden?

Ich hänge mal die 3 YMLs an

Screenshot 2022-12-23 091633.jpg

Code

version: '3.5'
services:
  endlessh:
    container_name: endlessh
    image: shizunge/endlessh-go:latest
    restart: always
    command:
      - -interval_ms=1000
      - -logtostderr
      - -v=1
      - -enable_prometheus
      - -geoip_supplier=ip-api
    networks:
      - tarpit
    ports:
      # SSH port
      - 22:2222
      # Prometheus metrics port
      - 127.0.0.1:2112:2112

  prometheus:
    image: prom/prometheus:latest
    container_name: prometheus
    restart: always
    command: 
      - --config.file=/etc/prometheus/prometheus.yml
      - --storage.tsdb.path=/prometheus
      - --storage.tsdb.retention.time=45d
      - --web.console.libraries=/usr/share/prometheus/console_libraries
      - --web.console.templates=/usr/share/prometheus/consoles
      - --web.enable-admin-api
    networks:
      - tarpit
    ports:
      - 9090:9090
    volumes:
      - ./prometheus.yml:/etc/prometheus/prometheus.yml
      - prometheus:/prometheus

  grafana:
    image: grafana/grafana:latest
    container_name: grafana
    restart: always
    networks:
      - tarpit
    ports:
      - 3000:3000
    environment:
      - GF_SECURITY_ADMIN_USER=examples
      - GF_SECURITY_ADMIN_PASSWORD=examples
    volumes:
      - grafana_var:/var/lib/grafana/
      - ./grafana-datasource.yml:/etc/grafana/provisioning/datasources/prometheus.yml

networks:
  tarpit:

volumes:
  prometheus:
  grafana_var:

Alles anzeigen

Code

scrape_configs:
  - job_name: 'endlessh'
    scrape_interval: 60s
    static_configs:
      - targets: ['endlessh:2112']

Code

apiVersion: 1

datasources:
  - name: Prometheus
    type: prometheus
    url: http://prometheus:9090

alhazred · 24. Dezember 2022

Du musst die entsprechenden Daten als Metrik zur Verfügung stellen Prometheus sagen, da kannst du diese abfragen.

Also NodeExporter (ich habe das mit ssh Login Versuchen noch nie konfiguriert).

Ach, es gibt auch ein Compose File das Grafana/Prometheus usw. ausrollt:

https://github.com/stefanprodan/dockprom Der Hinweis kommt jetzt aber glaube ich zu spät.

DaSch22 · 31. Dezember 2022

Zitat von KrisAusEU

...

Ich frage mich nur, wieso beim "nicht analogen Ozean" dass alles per One-Click funktioniert und läuft, aber hier in DE nicht?! Sind die drüben auf meinem IQ-Level, und brauchen das so?

...

Ist zwar etwas Offtopic - Grafana + Prometheus finde ich aber generell interessant - , aber jetzt weis ich wenigstens warum meine Logwatch Reports Angemessene Reaktion bei Brute-Force-Attacke immer länger werden.

Mein Server wird von kompletten Netranges dieses "nicht analogen Ozean" (https://bgp.tools/prefix/107.170.0.0/17#whois) heimgesucht. Muss wohl was mit "One-Click" zu tun haben.

Beispiel: https://www.abuseipdb.com/check/107.170.4.247

AutoYaST · 31. Dezember 2022

Zitat von DaSch22

Muss wohl was mit "One-Click" zu tun haben.

One-click Botnets - äußerst praktisch.

KrisAusEU · 1. Januar 2023

Frohes Neues !

Um das Thema mal abzuschließen:

Genau das was ich gesucht habe: https://github.com/telekom-security/tpotce

Gefunden hier:

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

duckr · 1. Januar 2023

Frohes Neues. Du installierst einen Honeypot, weil du eine Weltkarte haben willst? Das dürfte ein spannendes Neujahr werden.
Oder verstehe ich was falsch?

KrisAusEU · 1. Januar 2023

Zitat von duckr

Frohes Neues. Du installierst einen Honeypot, weil du eine Weltkarte haben willst? Das dürfte ein spannendes Neujahr werden.
Oder verstehe ich was falsch?

Nein, nicht ganz.. Wenn ich nur eine Weltkarte brauche, ich hab noch nen Diercke Weltatlas und zur Not GoogleMaps usw.

Ich finds halt nur interessant, zu sehen, wer von wo aus auf meine Server will, und was er da will. Nicht dauerhaft, nur paar Tage. Und da der RS1000 eh grad nicht gebraucht wird - why not?

Screenshot 2023-01-01 at 13-33-23 Cowrie - Elastic.png

RAD750 · 1. Januar 2023

Achja, die Videos von Dennis sind immer super

aRaphael · 1. Januar 2023

Falls es nicht in Echtzeit sein muss und nur mal so punktuell, gibt es auch Onlinekarten in die man eine ip-Liste reinpasten kann.

z.B.:

https://ipinfo.io/tools/map

oder

https://map.ip2location.com/

Ich habe bei ersterem mal schnell das apache access.log eines Servers von heute durch awk '{ print $1 }' | grep -v "127.0.0" | sort | uniq gejagt und die Liste hochgeladen. Das sieht dann so aus:

pasted-from-clipboard.png

Man kann auch das log als Ganzes posten, aber so freigiebig, bin ich mit meinen Daten nicht.

aRaphael · 1. Januar 2023

EDIT:

Das geht übrigens auch direkt von Server aus, auf folgende Weise:

Code

cat IPLIST | curl -XPOST --data-binary @- "ipinfo.io/map?cli=1"

Dann kommt die url der generierten Karte zurück:

Code

{
"status": "Report Generated",
"reportUrl": "https://ipinfo.io/tools/map/xxxxxxxxxxxx"
}

KrisAusEU · 2. Januar 2023

Zitat von aRaphael

Falls es nicht in Echtzeit sein muss und nur mal so punktuell, gibt es auch Onlinekarten in die man eine ip-Liste reinpasten kann.

Danke für den Tipp !!

Nein, muss nicht Real-Time sein, zumindest nicht dauerhaft... Aber sieht schon cool aus.. Erinnert irgendwie an Star Wars oder naja, lassen wir das...

Mich stört nur, das mein NUE-Server auf der Karte kurz vor Dänemark ist

Externer Inhalt youtu.be

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.