Server scann - Sicherheit eines Servers

  • Zitat von martin',


    Hoffentlich inklusive regelmäßiger Updates des Systems und der darauf laufenden Software sowie regelmäßiger Prüfung der Logs. Alles in allem klingt das nach einer geknackten Kiste. Wenn das wirklich ein drei Jahre altes System (Etch? Lenny?) ist, dann würde mich das nicht wundern.

    Uppis wurden gemacht, logs habe ich auch immer wieder durchgeschaut, Freitag war ich im Krankenhaus, super, komm nach hause , hatte noch keinen Kaffee und dann das.
    Am Freitag um 2:55Uhr hat er damit angefangen, um 13 uhr war er deaktiviert da die leute nicht mehr auf Ts kamen, und hier ein Auszug aus der log:


    Code
    Sep  7 16:06:21 v220100555353149 sshd[24196]: Server listening on 0.0.0.0 port 22.Sep  7 16:06:21 v220100555353149 chpasswd[24209]: pam_unix(chpasswd:chauthtok): password changed for rootSep  7 16:17:01 v220100555353149 CRON[18214]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directorySep  7 16:17:01 v220100555353149 CRON[18214]: pam_unix(cron:session): session opened for user root by (uid=0)Sep  7 16:17:01 v220100555353149 CRON[18214]: pam_unix(cron:session): session closed for user rootSep  7 16:17:54 v220100555353149 sshd[19755]: Did not receive identification string from 92.96.178.95Sep  7 16:26:21 v220100555353149 sshd[859]: reverse mapping checking getaddrinfo for 82-137-13-7.rdsnet.ro [82.137.13.7] failed - POSSIBLE BREAK-IN ATTEMPT!


    Ich denke mal das sich hier netcup Eingeloggt hat, das Passwort geändert hat , das mir dann zugeschickt wurde damit ich dann auf das Rettungssystem zugreifen kann.
    Wie gesagt kann ich ja keine Analyse machen , bzw. wie soll ich eine machen?
    PS: System Debian


    Alex
    Auf irgendeine Weise muss also jemand Ihren Server missbraucht haben, Möglichkeiten gibt es dort sehr viele, je nach Einrichtung und Konfiguration des Systems z.B. per PHP, direkt per SSH etc. pp



    Über SSH ? Nur ich hatte den Zugriff, mein Vertrauens Admin hatte nur FTP rechte mit eigenem Ordner, um News schreiben zu können.
    per PHP mh. die Homepage war sowas von zu das selbst mein Admin Schwierigkeiten hatte die Bilder zu den Themen zu posten.


    Aber Alex, wie finde ich heraus mit welcher Software "Portscanner – Wikipedia" hier gearbeitet wurde?

  • Wenn du ins Rettungs-System kommst, dann kannst du doch den Server analysieren. Zieh dir den Server als ISO und analysier zu Hause von einer VM aus.


    Möglichkeiten gibt's viele, ja. Das findest du aber über die Logs heraus - wenn sie nicht gesäubert worden.

  • 1. Wenn der Server seit 3 Jahren lief - Willst du damit sagen, du hast seit 3 Jahren nichts geändert? Sprich keine Updates?
    2. Wieso sollte sich netcup von einem DSL-Anschluss in Rumänien bzw. von den Vereinigten Arabischen Emiraten aus in deinen Server einloggen?
    3. Welcher Portscanner benutzt wurde ist so was von irrelevant.
    4. Wenn du Wissen willst was gelaufen ist, dann guck dir Log-Dateien durch. Wenn du Wissen willst was geändert wurde, dann lass deinen Paketmanager gegen das aktuelle System laufen. Da siehst du geänderte Dateien. Finde die Lücke, denn sonst kommt der Angreifer wieder. Der wartet 1, 2 Wochen und versucht in der Regeln die gleiche Lücke wieder auszunutzen. Oder es kommt jemand anderes vorbei und benutzt die Lücke.


    martin\, wie kann man sich einen Server als ISO runterladen?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Und wo bitte schön soll die ISO zwischengespeichert werden? Da kann ich mir ja gleich per SSH-Pipe ein Image per tar ziehen. Da spare ich mir das ISO-Image. Aber das ist doch auch unnötig kompliziert. Wieso nicht gleich rsync? Komprimiert alles bei der Übertragung und die Rechte bleiben erhalten und ich habe keine extra Verpackung wie z.B. tar, ISO, zip, etc.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Ich denke mal das sich hier netcup Eingeloggt hat, das Passwort geändert hat , das mir dann zugeschickt wurde damit ich dann auf das Rettungssystem zugreifen kann.

    Achtung, nein! Wir kennen nicht die root Passwörter der Kunden und haben auch keinerlei Berechtigung auf die Server zuzugreifen. Das Rettungssystem wird gesondert gestartet und ist ein unabhängiges minimalsystem welches nur temporär in einem speziellen Speicherbereich startet. Darin wird ein Mounpoint für die Festplatte des Kunden gesetzt. Das root Passwort wird ebenfalls immer generiert gesetzt für das Rettungssystem. Auch im Rettungssystem melden wir uns nicht an. Wie ebenfalls erwähnt, verwenden wir keinen ausländischen Zugang ;)

    Über SSH ? Nur ich hatte den Zugriff, mein Vertrauens Admin hatte nur FTP rechte mit eigenem Ordner, um News schreiben zu können.

    Offenbar war eines der Passwörter wohl nicht sicher genug was die Log zumindest andeutet. Leider konnte der User über die Rechte des komprimitierten Users wohl auch noch das root Passwort für SSH ändern. Das ist, falls es so vor sich ging, dann ein fatales Rechteproblem im vServer gewesen. Dies kann ich allerdings aufgrund der genannten Angaben auch nur vermuten.

    Aber Alex, wie finde ich heraus mit welcher Software "Portscanner – Wikipedia" hier gearbeitet wurde?

    Das lässt sich in der Regel nur schwer rausfinden da eine Software für solche Zwecke nicht sich zu erkennen gibt, zumal es hier abertausende Tools ("leider") gibt. Ein Portscan lässt sich ja z.B. mit Linux und Windows Hausmitteln bereits bewerkstelligen. Interessanter ist viel mehr wieder Angreifer an das Passwort gelangt ist, ob eine BruteForce Attacke lief oder einer derjenigen die Zugangsdaten zum komprimitierten User hatte ggf einen Trojaner auf dem Client hat. Wie man sieht, auch hier gibt es einige hunderte Möglichkeiten der Quelle und Ursache.

  • Na super, ich hatte ein Passwort mit 17 Zahlen und Buchstaben, und so wie du es sagst wurde dann mein Passwort geknackt, na sauber, dann ist alles klar.


    Ich werde heute noch den Brief schreiben, morgen wegschicken und dann wohl um eine Neuinstallation bitten, da die Frage wieviel kostet mich das denn die Installation, denn selber machen ist ja im Rettungssystem nicht möglich.


    Dann werde ich mir in Zukunft ein Passwort eben mit 17 Buchstaben, zahlen, Sonderzeichen groß und klein machen.


    All meine Passwörter hab ich in einem kleinen Büchlein drinnen, besonders die für den Server, zudem wechsel ich jeden Monat meine eigenen Passwörter in EMail und Browser.


    nun dann denke ich ist klar was passiert ist. Mein Passwort für den Server wurde geknackt und somit hatte er dann Zugang auf den Server und ist Systematisch dann alles durchgegangen.



    Feb 27 15:50:22 newsqueeze groupadd[29633]: group added to /etc/group: name=ssh, GID=103
    Feb 27 15:50:22 newsqueeze groupadd[29633]: group added to /etc/gshadow: name=ssh
    Feb 27 15:50:22 newsqueeze groupadd[29633]: new group: name=ssh, GID=103
    Feb 27 15:50:23 newsqueeze useradd[29695]: new user: name=sshd, UID=101, GID=65534, home=/var/run/sshd, shell=/usr/sbin/nologin
    Feb 27 15:50:23 newsqueeze usermod[29700]: change user 'sshd' password
    Feb 27 15:50:23 newsqueeze chage[29705]: changed password expiry for sshd
    Feb 27 15:50:23 newsqueeze sshd[29739]: Server listening on 0.0.0.0 port 22.
    Feb 27 15:50:40 newsqueeze sshd[29739]: Received signal 15; terminating.
    Sep 7 16:06:21 v220100555353149 sshd[24196]: Server listening on 0.0.0.0 port 22.
    Sep 7 16:06:21 v220100555353149 chpasswd[24209]: pam_unix(chpasswd:chauthtok): password changed for root
    Sep 7 16:17:01 v220100555353149 CRON[18214]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 16:17:01 v220100555353149 CRON[18214]: pam_unix(cron:session): session opened for user root by (uid=0)
    Sep 7 16:17:01 v220100555353149 CRON[18214]: pam_unix(cron:session): session closed for user root
    Sep 7 16:17:54 v220100555353149 sshd[19755]: Did not receive identification string from 92.96.178.95
    Sep 7 16:26:21 v220100555353149 sshd[859]: reverse mapping checking getaddrinfo for 82-137-13-7.rdsnet.ro [82.137.13.7] failed - POSSIBLE BREAK-IN ATTEMPT!
    Sep 7 16:26:21 v220100555353149 sshd[859]: Invalid user ts from 82.137.13.7
    Sep 7 16:26:21 v220100555353149 sshd[859]: Failed none for invalid user ts from 82.137.13.7 port 15424 ssh2
    Sep 7 16:26:22 v220100555353149 sshd[859]: pam_unix(sshd:auth): check pass; user unknown
    Sep 7 16:26:22 v220100555353149 sshd[859]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.137.13.7
    Sep 7 16:26:23 v220100555353149 sshd[859]: Failed password for invalid user ts from 82.137.13.7 port 15424 ssh2
    Sep 7 16:26:30 v220100555353149 sshd[859]: pam_unix(sshd:auth): check pass; user unknown
    Sep 7 16:26:32 v220100555353149 sshd[859]: Failed password for invalid user ts from 82.137.13.7 port 15424 ssh2
    Sep 7 16:26:37 v220100555353149 sshd[859]: pam_unix(sshd:auth): check pass; user unknown
    Sep 7 16:26:39 v220100555353149 sshd[859]: Failed password for invalid user ts from 82.137.13.7 port 15424 ssh2
    Sep 7 16:26:40 v220100555353149 sshd[859]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.137.13.7
    Sep 7 16:26:55 v220100555353149 sshd[1304]: reverse mapping checking getaddrinfo for 82-137-13-7.rdsnet.ro [82.137.13.7] failed - POSSIBLE BREAK-IN ATTEMPT!
    Sep 7 16:26:55 v220100555353149 sshd[1304]: Invalid user ts from 82.137.13.7
    Sep 7 16:26:55 v220100555353149 sshd[1304]: Failed none for invalid user ts from 82.137.13.7 port 19767 ssh2
    Sep 7 16:26:59 v220100555353149 sshd[1304]: pam_unix(sshd:auth): check pass; user unknown
    Sep 7 16:26:59 v220100555353149 sshd[1304]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.137.13.7
    Sep 7 16:27:02 v220100555353149 sshd[1304]: Failed password for invalid user ts from 82.137.13.7 port 19767 ssh2
    Sep 7 16:27:07 v220100555353149 sshd[1304]: pam_unix(sshd:auth): check pass; user unknown
    Sep 7 16:27:09 v220100555353149 sshd[1304]: Failed password for invalid user ts from 82.137.13.7 port 19767 ssh2
    Sep 7 16:27:12 v220100555353149 sshd[1304]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.137.13.7
    Sep 7 17:17:01 v220100555353149 CRON[28254]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 17:17:01 v220100555353149 CRON[28254]: pam_unix(cron:session): session opened for user root by (uid=0)
    Sep 7 17:17:01 v220100555353149 CRON[28254]: pam_unix(cron:session): session closed for user root
    Sep 7 18:17:01 v220100555353149 CRON[21591]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 18:17:01 v220100555353149 CRON[21591]: pam_unix(cron:session): session opened for user root by (uid=0)
    Sep 7 18:17:01 v220100555353149 CRON[21591]: pam_unix(cron:session): session closed for user root
    Sep 7 18:35:59 v220100555353149 sshd[18903]: Did not receive identification string from 41.234.155.145
    Sep 7 19:00:16 v220100555353149 sshd[32290]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=188-194-46-119-dynip.superkabel.de user=root
    Sep 7 19:00:18 v220100555353149 sshd[32290]: Failed password for root from 188.194.46.119 port 8148 ssh2
    Sep 7 19:00:30 v220100555353149 sshd[32290]: Accepted password for root from 188.194.46.119 port 8148 ssh2
    Sep 7 19:00:30 v220100555353149 sshd[32290]: pam_env(sshd:setcred): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 19:00:30 v220100555353149 sshd[32290]: pam_unix(sshd:session): session opened for user root by (uid=0)
    Sep 7 19:00:31 v220100555353149 sshd[32290]: subsystem request for sftp
    Sep 7 19:00:31 v220100555353149 sshd[2043]: pam_env(sshd:setcred): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 19:17:01 v220100555353149 CRON[28749]: pam_env(cron:session): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 19:17:01 v220100555353149 CRON[28749]: pam_unix(cron:session): session opened for user root by (uid=0)
    Sep 7 19:17:01 v220100555353149 CRON[28749]: pam_unix(cron:session): session closed for user root
    Sep 7 19:35:15 v220100555353149 sshd[26712]: Accepted password for root from 188.194.46.119 port 9435 ssh2
    Sep 7 19:35:15 v220100555353149 sshd[26712]: pam_env(sshd:setcred): Unable to open env file: /etc/default/locale: No such file or directory
    Sep 7 19:35:15 v220100555353149 sshd[26712]: pam_unix(sshd:session): session opened for user root by (uid=0)
    Sep 7 19:35:15 v220100555353149 sshd[26765]: pam_env(sshd:setcred): Unable to open env file: /etc/default/locale: No such file or directory




    Was ist wenn man man das Passwort wieder ändert? dann geht doch wieder alles oder nicht? Oder sollte man doch eine Neuinstallation machen Alex?
    grüße Sam


    PS: dann hat er sich aber mächtig ins Zeug gelegt um den Server zu Knacken, denn lt. Wiki ist das doch ein ganz großer Aufwand!


    Die Brute-Force-Suche ist einfach zu implementieren und dazu bestimmt, die korrekte Lösung zu finden. Allerdings steigt der Aufwand an Rechenoperationen proportional zur Anzahl der zu probierenden, möglichen Lösungen, wobei die Anzahl dieser möglichen Lösungen mit steigendem Umfang der Probleme exponentiell ansteigt.
    Ein wichtiger Anwendungsbereich findet sich in der Computersicherheit. Ein oft angeführtes Anwendungsbeispiel für die Brute-Force-Methode ist hier das „Knacken“ von Passwörtern.



    PS2, Ist da nun mein Fehler gewesen das mein Passwort geknackt wurde? Würde mich Interessieren da es sich ja in dem Fall schon um eine Rechtliche Lage handelt. Wie gesagt Passwort hatte 17 Zeichen, dann sollte ich wohl in Zukunft auf 30 hochgehen, wobei das Passwort von euch ist ja auch nur 10 Zeichen lang :cursing:

    Mein Server:
    RS 4000 SAS G8SE a1

    8 Mal editiert, zuletzt von Samsonetty ()

  • Samsonetty, bitte poste doch mit Zeilenumbrüchen. So wird niemand das Logfile oder was auch immer das sein könnte jemals durchlesen.
    Die Länge des Passworts interessiert niemanden, wenn es Sicherheitslücken gibt oder eine Fehlkonfiguration vorliegt. Natürlich kannst du das Passwort wieder ändern. Nur in der Regel wird bei einem Einbruch weiter Software auf dem Server installiert, damit man über diese weitere Software gleich wieder Zugriff auf den Server hat.
    Eine Neuinstallation nimmst du als Kunde selbst vor - Einfach den entsprechenden Button drücken. Das findest du dort, wo du auch die Backups, etc machst.


    Zitat

    Nun mal eine Frage, der Server läuft ja schon 3j. und ich hatte noch nie Probleme


    Willst du damit sagen, der Server wurde vor 3 Jahren eingerichtet und seit dem wurde nichts geändert?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Samsonetty, bitte poste doch mit Zeilenumbrüchen. So wird niemand das Logfile oder was auch immer das sein könnte jemals durchlesen.
    Die Länge des Passworts interessiert niemanden, wenn es Sicherheitslücken gibt oder eine Fehlkonfiguration vorliegt. Natürlich kannst du das Passwort wieder ändern. Nur in der Regel wird bei einem Einbruch weiter Software auf dem Server installiert, damit man über diese weitere Software gleich wieder Zugriff auf den Server hat.
    Eine Neuinstallation nimmst du als Kunde selbst vor - Einfach den entsprechenden Button drücken. Das findest du dort, wo du auch die Backups, etc machst.



    Willst du damit sagen, der Server wurde vor 3 Jahren eingerichtet und seit dem wurde nichts geändert?

    Nochmal der Server wurde Immer Aktuell gehalten!
    Eine Neuinstallation nimmst du als Kunde selbst vor - Einfach den entsprechenden Button drücken. Das findest du dort, wo du auch die Backups, etc machst.


    Ist nicht möglich da man im Rettungssystem ist! Ansonsten ja , das weis ich

  • Wieso fehlt da ein halbes Jahr (oder sind 2,5 Jahre) im Logfile? Und wieso ändert sich der Hostname?

    Das ist alles was in der authfile steht und server ist Online seit dem
    9.05.2010 ! Und nerf jetzt nicht wie lange der server online ist bitte

  • und so wie du es sagst wurde dann mein Passwort geknackt, na sauber, dann ist alles klar.

    Achtung, ich habe Möglichkeiten genannt. Ich weiss nicht wie genau auf den Server eingedrungen wurde, dafür müsste ich dort eine vollständige Analyse durchführen. Dies können wir per Support auch gerne über die remote Hands Services anbieten, ist allerdings bei einem nicht managed Server mit entsprechend Kosten verbunden. Es gibt wie gesagt viele Wege, nicht nur Bruteforce. Bitte hier nicht auf einzelne Aussagen festnageln und alles im Text beachten, wir (und die anderen User) können nur Vermutungen äussern und Beispiele nennen, das bedeutet in keinem der Fälle das dies zwingend zutreffen "muss". Dies können nur Sie prüfen.

    da die Frage wieviel kostet mich das denn die Installation

    Wir bieten dies in Verbindung mit der Stellungnahme kostenlos als Service an.

    Mein Passwort für den Server wurde geknackt

    Das muss halt geaustens (!) geprüft werden welcher User "geknackt" wurde und wie dies ggf. geschah (per SSH, PHP, etc)

    PS2, Ist da nun mein Fehler gewesen das mein Passwort geknackt wurde?

    Jein. Streng genommen ja, da Sie wie gesagt für Ihren Server verantwortlich sind. Unterbinden kann man dies z.B. mit langen Passwörter, sicheren Clients, evtl. zusätzlichen Keys, Einschränkung der möglichen SSH Logins und FailAttempts sowie Anpassungen an der Firewall Konfiguration. Es gibt zum Schutz des Systems mindestens genau so viele Varianten wie die Möglichkeiten für die Kompromitierung. Die Kenntnisse muss man bei der Verwaltung eines vServers mitbringen oder sich sehr zeitnah aneignen.

  • OK, dann Brief schreiben, Neuinstallieren, Passwort auf 30 hochsetzen, ip ändern, SSH Port ändern auf 3stellig, Firewall einrichten, und was es noch so gibt.


    Dann bedanke ich mich für eure Hilfe.
    Sam

  • Logfiles auswerten oder auswerten lassen!


    In den Logfiles steht z.B. drin, wie, wann und wo da Jemand sein Unwesen getrieben hat.
    3 Jahre Logfiles auswerten, wird sich wohl schwierig gestalten, vor allem wenn logrotate oder ähnliches im Einsatz war. Aber da musst Du jetzt durch.


    Oft sind es alte Scripte von Joomla, Wordpress, oder eines der vielen, vielen anderen Scripten über die ein böser Bube Zugriff auf einen Server bekommen kann.
    Auch das ist mehr als bedenklich, wenn man dort nicht für Akuallität sorgt. Mit simplen Updates des Servers ist es also nicht getan. Absichern von Scripten gehört dazu.


    Wer weiß, vielleicht hast Du ja sogar einen hübschen Trojaner auf Deinem Rechner, der Passwörter für jegliches Scenario auspioniert und mitloggt.
    Dann kannst Du Deine Passwörter noch so lang machen oder in noch so viele Büchlein schreiben.


    Wie Alex schon sagte, es gibt da viele Möglichkeiten und die alle zu erörtern würde den Rahmen wohl eher sprengen.


    Eine komplette Neuinstalltion ist ratsam. Du hast schon selber erkannt, das man kryptische Passwörter verwenden sollte (mDe§!se:mD4834sw"3:-l) und nicht nur einfache Buchstaben - Zahlen Kombinationen.
    Es wartet wohl viel Arbeit auf Dich.

    Schöne Grüße aus der Lüneburger Heide!
    Thomas

  • So da bin ich mal wieder, nachdem ich den V-Server neu Aufgesetzt habe mit :


    Debian Squeeze 64Bit FroxlorDebian Squeeze auf 64Bit Basis mit installiertem und vorkonfiguriertem Froxlor.



    Habe ich mich durch jede Menge Themen durchgearbeitet, Hauptsächlich hat mir http://www.howtoforge.de sehr geholfen.


    Nun hier meine geänderten Positionen:

    • Root Passwort auf 60 Zeichen (<AZ><az><09><symbols>) per PWgen abgeändert
    • Einen 2ten User erstellt und diesen auch mit 60 Zeichen versehen
    • Dann mit Putty Key Generator einen Key erstellt, dieser SSH-2 DSA und 2048 Bits
    • Dann die sshd_config bearbeitet: Protocol 2, UsePAM no, PasswordAuthentication no (aber wie sieht es denn dann mit PermitRootLogin yes ?, wenn ich das auf no stelle komm ich mit meinem Putty key nicht mehr rein, aber mit dem 2ten User schon????

    • PHPmyadmin installiert und diesen per .htaccess + .htpasswd abgesichert

    • Zwecks den Brutforce Attacken hab ich mich für Fail2ban entschieden, aber irgendwie bekomme ich das nicht hin, da er mir hier folgendes Ausspuckt


    2012-09-29 14:51:04,980 fail2ban.server : INFO Exiting Fail2ban
    2012-09-29 14:51:15,395 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
    2012-09-29 14:51:15,396 fail2ban.jail : INFO Creating new jail 'ssh'
    2012-09-29 14:51:15,396 fail2ban.jail : INFO Jail 'ssh' uses poller
    2012-09-29 14:51:15,409 fail2ban.filter : INFO Added logfile = /var/log/auth.log
    2012-09-29 14:51:15,409 fail2ban.filter : INFO Set maxRetry = 2
    2012-09-29 14:51:15,411 fail2ban.filter : INFO Set findtime = 600
    2012-09-29 14:51:15,411 fail2ban.actions: INFO Set banTime = 86400
    2012-09-29 14:51:15,479 fail2ban.jail : INFO Creating new jail 'postfix'
    2012-09-29 14:51:15,479 fail2ban.jail : INFO Jail 'postfix' uses poller
    2012-09-29 14:51:15,480 fail2ban.filter : INFO Added logfile = /var/log/mail.log
    2012-09-29 14:51:15,480 fail2ban.filter : INFO Set maxRetry = 2
    2012-09-29 14:51:15,482 fail2ban.filter : INFO Set findtime = 600
    2012-09-29 14:51:15,483 fail2ban.actions: INFO Set banTime = 86400
    2012-09-29 14:51:15,489 fail2ban.jail : INFO Creating new jail 'apache2'
    2012-09-29 14:51:15,489 fail2ban.jail : INFO Jail 'apache2' uses poller
    2012-09-29 14:51:15,490 fail2ban.filter : INFO Added logfile = /var/log/apache2/error.log
    2012-09-29 14:51:15,490 fail2ban.filter : INFO Set maxRetry = 2
    2012-09-29 14:51:15,492 fail2ban.filter : INFO Set findtime = 600
    2012-09-29 14:51:15,492 fail2ban.actions: INFO Set banTime = 86400
    2012-09-29 14:51:15,499 fail2ban.jail : INFO Creating new jail 'proftpd'
    2012-09-29 14:51:15,499 fail2ban.jail : INFO Jail 'proftpd' uses poller
    2012-09-29 14:51:15,500 fail2ban.filter : INFO Added logfile = /var/log/auth.log
    2012-09-29 14:51:15,500 fail2ban.filter : INFO Set maxRetry = 2
    2012-09-29 14:51:15,500 fail2ban.comm : WARNING Invalid command: ['set', 'proftpd', 'failregex', 'proftpd: (pam_unix) authentication failure; .* rhost=<HOST>']


    Allerdings läuft dieser schon als Prozess:

    root 4276 0.0 0.3 31424 6400 ? S 14:51 0:00 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock


    Hier bräuchte ich doch nochmal Hilfe bitte.

    • Um dann alles zu Aktualisieren, hab ich hier Cronjobs angelegt die alles was ich gemacht hab auch Aktualisieren.

    • Blockhost wurde auch installiert , wäre da das mit den iptables nicht, ansonsten geht es .

    • Dann hab ich noch das Problem mit den iptables, denn wenn ich die Aufrufe kommt folgendes:


    iptables -L
    FATAL: Could not load /lib/modules/2.6.36.4-vs2.3.0.36.39-netcup/modules.dep:
    No such file or directory
    iptables v1.4.8: can't initialize iptables table `filter': Permission denied (you must be root)
    Perhaps iptables or your kernel needs to be upgraded.


    Heist das die müssen noch Installiert werden ? den der Ordner "/lib/modules" ist in dem Fall leer.
    zwar hat er eine unter "/usr/share/iptables/iptables.xslt" aber das denke ich mal ist die von Froxlor ?(


    Kann mir da bitte jemand weiterhelfen? Denn Fail2ban sowie Blockhost brauchen so wie ich das sehe die Iptables.


    Thanks vorab

    Mein Server:
    RS 4000 SAS G8SE a1

    Einmal editiert, zuletzt von Samsonetty ()