Das ist mir auch bekannt. Die oben gezeigten Regeln werden von Fail2ban eingetragen (vServer fail2ban Alternative).
Nur sollten die Regeln nicht greifen bevor die IP einen Dienst auf dem Server angesprochen hat?
Beiträge von Pionier
-
-
Hallo und einen schönen guten Morgen an alle.
Ich hab ein kleines, nervendes Problem mit einer fremden IP.
Seit einigen Tagen, versucht diese einen Login auf meinen FTP (pure-ftpd)Log: (kleiner Auszug)
Code
Alles anzeigenJan 3 08:40:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:40:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:41:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:41:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:42:08 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:42:11 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:42:12 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:42:12 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:42:12 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:42:13 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin] Jan 3 08:42:14 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin] Jan 3 08:42:14 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin] Jan 3 08:42:14 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [martin] Jan 3 08:42:17 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:42:18 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:42:19 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:42:20 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:44:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:44:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:45:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:45:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:45:31 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:45:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:45:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:45:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:45:35 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:45:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:45:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:45:38 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas] Jan 3 08:45:38 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas] Jan 3 08:45:38 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas] Jan 3 08:45:39 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:45:41 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [andreas] Jan 3 08:45:41 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:45:42 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:45:43 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:45:46 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:47:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:47:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:48:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:48:32 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:48:37 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:48:37 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:48:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:48:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:48:40 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven] Jan 3 08:48:40 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven] Jan 3 08:48:42 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:48:42 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:48:44 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:48:44 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven] Jan 3 08:48:44 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [sven] Jan 3 08:48:46 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:48:47 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:48:50 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:50:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:50:01 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:50:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] New connection from 127.0.0.1 Jan 3 08:50:57 srv1 pure-ftpd: (?@127.0.0.1) [INFO] Logout. Jan 3 08:51:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:51:36 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:51:38 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:51:39 srv1 pure-ftpd: (?@92.241.169.192) [INFO] New connection from 92.241.169.192 Jan 3 08:51:39 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:51:40 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:51:40 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:51:41 srv1 pure-ftpd: (?@92.241.169.192) [INFO] PAM_RHOST enabled. Getting the peer address Jan 3 08:51:42 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [michael] Jan 3 08:51:42 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [michael] Jan 3 08:51:43 srv1 pure-ftpd: (?@92.241.169.192) [WARNING] Authentication failed for user [michael] Jan 3 08:51:46 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:51:47 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout. Jan 3 08:51:47 srv1 pure-ftpd: (?@92.241.169.192) [INFO] Logout.Fail2ban hat folgenden Eintrag in der Firewall gemacht:
[Blockierte Grafik: http://www.imagebanana.com/view/ctqt8t3n/firewall.png][Blockierte Grafik: http://img5.imagebanana.com/img/ctqt8t3n/thumb/firewall.png]Nach meinem Verständnis dürfte einen Anfrage von der IP doch gar nicht mehr zu meinem FTP durchkommen. Aber wie auch immer, sie müllt mir die Logs voll und Fail2ban macht seine Arbeit.
Die Bannzeit möchte ich auch nicht höher setzen, da auch bekannte von mir einen FTP-Zugang haben und ich sie nicht lange nach einem Falschlogin aussperren möchte.
-
Was haltet Ihr von "www.blocklist.de -- Fail2Ban Reporting Service" bzw. nutzt es schon einer von euch?
Ich es im Moment für keine schlechte Idee, aber hat es schon einer mit der "vServer fail2ban Alternative" am laufen?
-
Ich Trottel :o so ist es ja auch in den ersten Beiträgen zu sehen.
Danke, nun geht es.
-
Irgend was mache ich dann falsch :confused:
Ich habe die Firewall wie folgt eingerichtet:
[Blockierte Grafik: http://img830.imageshack.us/img830/5936/firewallt.jpg]
Aber wenn ich die Domain mit http oder https aufrufe erhalte ich nur:[Blockierte Grafik: http://img693.imageshack.us/img693/6608/unterbrochen.jpg]
Was mache ich da falsch????
[Blockierte Grafik: http://yfrog.com/n2firewalltj] -
Schau dich mal in der Doku von ispCP-Omega um, da ist fast alles gut beschrieben.
-
Ich denke, ich habe meine Fehler gefunden.
Dieser Ordner "/tmp/ovcp" wurde nach einer Aktion nicht gelöscht
Ich vermute, das kam durch einen Neustart als das Script ausgeführt wurde.Kann man es so erweitern, dass es beim Start einer Aktion erst kontrolliert, ob dieser Ordner vorhanden ist und wenn ja den löscht und dann erst die Aktion (Ban/Unban) startet.
-
Wurde irgend etwas geändert?
Seit einigen Tagen beobachte ich ein einfrieren von Fail2Ban.Mit pstree bekomme ich folgende Ausgabe:
Code|-fail2ban-server-+-sync.sh---sleep | `-8*[{fail2ban-server}]Versuche ich das Script mit ./sync.sh 123.123.123.123 add zu starten, passiert nichts.
cURL, PHP5-cURL und cURL-SSL sind installiert und getestet.Mit curl http://www.google.de bekomme ich auch google angezeigt.
-
Du musst die ispCP Cron ändern.
/etc/cron.d/ispcpSowas findes du aber auch im ispCP-Omega Forum -> http://isp-control.net/forum/
-
@ Robert
Danke, läuft bestens.
-
Sperr doch IP´s, die solche Anfragen schicken.
Ich habe das bei mir mit Fail2Ban gelöst.
(Siehe auch hier -> http://forum.netcup.de/showthread.php?t=425)in der jail.conf eintragen:
Code[apache-dfind]enabled = trueport = http,httpsfilter = apache-dfindlogpath = /var/log/apache2/users/*access.logmaxretry = 1bantime = 86400logpah anpassen !!!!
unter /etc/fail2ban/filter.d die Datei apache-dfind.conf erstellen und folgendes eintragen:
Code[Definition]# Option: failregex# Notes.: regex to match the w00tw00t scan messages in the logfile. The# host must be matched by a group named "host". The tag "<HOST>" can# be used for standard IP/hostname matching.# Values: TEXTfailregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*# Option: ignoreregex# Notes.: regex to ignore. If this regex matches, the line is ignored.# Values: TEXTignoreregex =Eventuell anpassen, da ich ispCP-Omega 1.0.5 nutze. Bei anderen Systemen können die Log´s anders aufgebaut sein.
-
Mehr nicht :confused:
Wo sind denn die ganzen Vhost Einträge?
-
Werde ich, sobald die dritte IP da ist machen.
Danke für den Tip
-
Zitat von AndreasT;20175
Und so geht es mit jeder Domain Alias die ich anlege, es wird einfach nicht auf den Ordner geleitet obwohl im Aapache es steht.Was steht denn in der
Code/etc/apache2/sites-available/ispcp.confUnd wie ist die default-Site im htdocs-Ordner? Diese wird immer gleich erstellt, bei einer Domain. Unabhängig von der Subdomain.
Kleiner Auszug aus der original Datei:Code<p>This is the default page for <b>{DOMAIN_NAME}</b> -
Zitat von AndreasT;20172
Eintrag ändern und dann ...
Gut, soweit war ich auch schon.Welchen Eintrag soll ich ändern oder soll ich folgendes hinzu schreiben:
Codesrv1 A IP 3 -
Hallo,
ich habe mal eine Frage zu den DNS-Einstellungen im CCP.
Jetziger Stand:Code
Alles anzeigenHost Type MX Destination * A IP 1 @ A IP 1 www CNAME IP 1 mail A IP 1 @ MX 10 mail.domain.de ftp A IP 1 sub1 A IP 2 Desweiteren PTR Domain.de IP 1Auf IP 1 erreiche ich momentan meine Domain und ispCP (FQDN - srv1.domain.de)
IP 2 ist für SSL der Sub1.domain.deIch möchte aber das die FQDN auf IP 3 geht, da ich IP 1 für domain.de (incl. SSL) brauche
Wie muss ich meine DNS-Einträge ändern?
-
Hallo,
versuch mal folgendes:
- php.ini-Vorlage anpassen (/etc/ispcp/fcgi/parts/php5/php.ini)
- Konfigurationen neu schreiben lassen (http://isp-control.net/documen…o:ispcp:regenerate_config)
-
Zitat von Scaleo;14726
... In weiß jemand in wie weit die Grundkonfiguration von ISPcp Omega 1.04 abgesichert ist? Also diverse "schädliche" PHP funktionen deaktiviert. Den Apachen gesichert usw ....
Es sind einige php-Funktionen "deaktiviert", aber am besten schaust doch bitte ins Forum von ispCp (http://www.isp-control.net) dort findest du alle Antworten
**Edit**
Ist eine "anständige" Traffic-Messung möglich? Da diese ja auf Iptable zurückgreift.
-
Zitat von Lucan;14321
... ansonsten In der OPENVZP Firewall die Ips Blocken.
Grüße
Kann man das nicht über fail2ban regeln?
-
Hallo,
seit einigen Tagen habe ich einige "Hackversuche" auf meinem vServer.
Auszug aus der Log:
Code
Alles anzeigen77.104.217.233 - - [22/Feb/2010:22:56:52 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 77.104.217.233 - - [22/Feb/2010:22:56:52 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 67.43.5.33 - - [22/Feb/2010:22:59:28 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 67.43.5.33 - - [22/Feb/2010:22:59:28 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 58.177.209.216 - - [23/Feb/2010:01:18:14 +0100] "GET /user/soapCaller.bs HTTP/1.1" 302 199 "-" "Morfeus Fucking Scanner" 58.177.209.216 - - [23/Feb/2010:01:18:14 +0100] "GET /user/soapCaller.bs HTTP/1.1" 302 199 "-" "Morfeus Fucking Scanner" 203.200.180.74 - - [23/Feb/2010:06:16:22 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:06:16:22 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:06:41:07 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:06:41:07 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:07:09:10 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:07:09:10 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 193.74.64.40 - - [23/Feb/2010:07:26:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 193.74.64.40 - - [23/Feb/2010:07:26:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:07:41:18 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:07:41:18 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:08:15:49 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:08:15:49 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:08:50:18 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:08:50:18 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:09:28:31 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:09:28:31 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:10:09:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 203.200.180.74 - - [23/Feb/2010:10:09:20 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-" 77.104.217.233 - - [23/Feb/2010:10:46:10 +0100] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"Alle Zugriffe kommen über die Domain (static.174.178.40.188.clients.your-server.de) welche auf meinen Server weist.
Wie kann ich das unterbinden?
MfG Pionier
