Beiträge von jkn

hallo,
das neue interface für das vcp läuft ja nun jetzte. allerdings wird bei mir irgendwie nichts mehr gebannt, d.h. in die firewall übernommen! nach dem fail2ban-log ist alles ok!

2011-07-05 09:17:11,088 fail2ban.actions: WARNING [courierpop3] Ban xxx.xxx.xxx.xxx
2011-07-05 09:18:18,341 fail2ban.actions: WARNING [courierpop3] xxx.xxx.xxx.xxx already banned
2011-07-05 09:18:37,358 fail2ban.actions: WARNING [courierpop3] xxx.xxx.xxx.xxx already banned
2011-07-05 09:19:36,878 fail2ban.actions: WARNING [apache-401block] Ban xxx.xxx.xxx.xxx
2011-07-05 09:19:47,254 fail2ban.actions: WARNING [apache] Ban xxx.xxx.xxx.xxx
2011-07-05 09:19:53,082 fail2ban.actions: WARNING [apache-401block] xxx.xxx.xxx.xxx already banned
2011-07-05 09:19:59,447 fail2ban.actions: WARNING [apache] xxx.xxx.xxx.xxx already banned
2011-07-05 09:20:03,091 fail2ban.actions: WARNING [apache-401block] xxx.xxx.xxx.xxx already banned
2011-07-05 09:20:08,455 fail2ban.actions: WARNING [apache] xxx.xxx.xxx.xxx already banned
2011-07-05 09:20:13,102 fail2ban.actions: WARNING [apache-401block] xxx.xxx.xxx.xxx already banned

ich verwende die letzte version vom script & noch lenny!
hat jemand eine idee??
mfg
jkn


*edit*
seit dem 30.6. wird da übrigens nichts mehr geblockt! :((

zu dem script findet google diese seite:

httx :// jsunpack.jeek. org/dec/go?report= 4135bb578f313d7228ebe8cf69f7b95f53c1df7a

is wie beim atommüll! hauptsache weg & ja nicht bei uns!

wie bitte verbietet denn der satz:

Zitat

Hinterlegen und Zugänglichmachen von Daten und Material mit pornographischem, kommerziellem erotischem Charakter und von urheberrechtlich geschütztem Material, zu deren Verbreitung der Nutzer nicht berechtigt ist

das einrichten eines wikileaks.mirrors!?? ich glaube kaum, dass die dort veröffentlichten daten kommerziell erotisch, pornografisch oder urherberrechtlich geschützt i.S. des deutschen Urheberrechtes sind! :eek:

wirklich interessant sind ja die recht kontroversen ansichten so mancher hoster zu diesem thema: http://nerdfabrik.de/2010/12/wikileaks-mirror/ !

die juristisch fundierteste dabei ist wohl die von domainFactory:

Zitat

[LEFT]Da also bereits das unmittelbare Veröffentlichen von Staatsgeheimnissen strafrechtlich in der o.g. Konstellation [wie eben beschrieben, Anm. d. Red.] nicht sanktioniert sondern sogar verfassungsrechtlich als geschützt betrachtet werden kann, ist somit die reine technische Dienstleistung eines Webhosters zwangsläufig ebenfalls als nicht strafbar zu klassifizieren. Wobei – wie gesagt -bereits an anderer Stelle veröffentlichte Informationen schon überhaupt nicht mehr als Staatsgeheimnis zu werten sind und damit selbst die theoretische Möglichkeit der Strafbarkeit mangels Anwendbarkeit der §§ 95, 97 StGb nicht gegeben ist.[/LEFT]

ducken und verstecken hilft selten im leben weiter! ganz im sinne von Manitu als zitat von o.g. link:

Zitat

[LEFT]Wir und ergo ich persönlich (als Geschäftsführer) stufen Wikileaks in keiner Form als illegal ein, nicht mal illegitim oder unmoralisch.
Ich sehe hier auch keinen Grund, derartige Inhalte (egal ob von Wikileaks oder einem anderen ähnlich gelagerten Projekt) durch Ausschlüsse in AGB oder sonstigen Vertragsdokumenten zu schikanieren.[/LEFT]

daran kann sich so mancher ein beispiel nehmen! -> siehe pseudo-ausschluss in o.g. agb.

scheint so, apache sagt mir das:

[PHP]
125.230.165.162 - - [05/Jul/2010:15:16:22 +0000] "CONNECT 203.188.201.253:25 HTTP/1.1" 401 1503 "-" "-"
213.168.41.68 - - [05/Jul/2010:06:42:59 +0000] "CONNECT 205.188.251.1:443 HTTP/1.0" 401 1501 "-" "-"
213.168.41.68 - - [05/Jul/2010:06:53:42 +0000] "CONNECT 205.188.251.11:443 HTTP/1.0" 401 1502 "-" "-"
[/PHP]

habe jetzt mal noch zusätzlich in conf.d nen file mit

[PHP]
<Location />
<Limit CONNECT>
Order deny,allow
Deny from all
</Limit>
</Location>

[/PHP]

angelegt. mal sehen, obs was bringt.

bis später
jkn

hallo,
habe seit einiger zeit bei der täglichen logwatch-mail einträge wie z.b.:

Connection attempts using mod_proxy:
    125.230.165.162 -> 203.188.201.253:25: 1 Time(s)
    213.168.41.68 -> 205.188.251.11:443: 2 Time(s)
    213.168.41.68 -> 205.188.251.16:443: 2 Time(s)
    213.168.41.68 -> 205.188.251.1:443: 2 Time(s)
    213.168.41.68 -> 205.188.251.21:443: 1 Time(s)
    213.168.41.68 -> 205.188.251.26:443: 1 Time(s)
    213.168.41.68 -> 205.188.251.31:443: 1 Time(s)
    213.168.41.68 -> 205.188.251.36:443: 1 Time(s)

habe schon die jeweiligen proxy-module von apache gelöscht bzw. umbenannt. allerdings ändert sich nichts an den einträgen. auch sonst ist in den apache-config-files nichts von mod_proxy zu finden. apache-version ist die aktuelle von debian (v2.2.9).

hat das sonst noch jemand bzw. muss ich mir sorgen bezüglich der serversicherheit machen??

by
jkn

hallo,
hatte vor kurzem auf meinem volks-server auch das problem, dass roundcube nach dem login ewig brauchte (ca. 2...3 minuten) um den posteingang anzuzeigen. darin sind ca. 1500 mails. sollte also eigentlich nicht das problem sein. auffällig war, dass das login-problem plötzlich auftrat, d.h. von einem tag auf den anderen ohne das irgendwelche änderungen am system bzw. der config durchgeführt wurden. habe daraufhin den spam-, den gelöscht-ordner geleert, die db über phpmyadmin geprügft & optimiert. und zum schluss noch mysql auf den neuesten stand gebracht. danach ging es wieder problemlos. leider alle schritte mehr oder weniger auf einen rutsch, so dass ich nicht genau sagen kann an was es gelegen hat. mir schien allerdings das prob eher mysql-seitig aufgetreten zu sein, dass der ewig beim zugriff auf die DB benötigte.

viel erfolg
jkn

Zitat von killerbees19;16136

top ist sowieso Müll, nimm htop, da wird es richtig angezeigt.

höhöö... na das is jetzt aber mal keine begründung! vor dem update hat auch TOP alles 1a angezeigt & ich nutze top einfach lieber als htop, weils übersichtlicher is! subjektiv ist der server nach dem update, vor allem bei grafikberechnungen viel langsamer als vorher. bei mir steigt da neuerdings der load immer drastisch an! das hat der sonst nie gemacht (load 1min > 2!) bei cpu<5%!!! das kann meines erachtens nur an der ungünstigen swap/memory nutzung liegen! :confused:

hmm...
by
jkn

hallo,
hmmm... bei mir sieht es nach dem update nicht viel besser aus:

total used free shared buffers cached
Mem: 1048576 1014976 33600 0 0 610664
-/+ buffers/cache: 404312 644264
Swap: 1048576 512 1048064

top sagt dasselbe.

Mem: 1048576k total, 1013172k used, 35404k free, 0k buffers
Swap: 1048576k total, 512k used, 1048064k free, 608640k cached

vor dem update lag ich mit meinem bei used immer so zwischen 450 & 650 MB!

ok, hab ich gemacht! vielen dank! werde es mal ne weile jeden tag beobachten, ob das problem gelöst ist!

thx
jkn

hallo,
ich weiss ja nicht wie es bei euch ist, aber ich hatte das problem mit fail2ban & dem bestehenden cookie heute schon wieder! dabei lief der server eigentlich 1a!

wäre toll, wenn es da eine lösung gäbe, sonst muss ja jeden tag der fail2ban-client status gecheckt werden. ich nutze im übrigen die version 0.9 von fail2ban, falls das damit evtl. in zusammenhang stehen koennte!?

by
jkn

hallo,
also bei mir klappte jetzt auch wieder! das problem war, dass das cookie unter /tmp/ovcp noch bestand & anscheinend irgendwann mal nicht richtig gelöscht wurde. warum auch immer & der das nicht überschreiben wollte! erst nachdem ich das cookie und den ordner gelöscht hatte ging es wieder völlig problemlos. vielleicht kann man da in das script noch ne entsprechende abfrage mit reinbasteln, dass der spass bei bestehen überschrieben wird etc.

by
jkn

hallo,
kann es sein, dass netcup was am openvcp-firewall geändert hat & nun von fail2ban keine regeln mehr geschrieben werden koennen??? :confused: jedenfalls is das bei mir seit ein paar tagen der fall! wie sieht das bei euch aus & was muesste an dem script angepasst werden, damit es wieder funktioniert??

thx
jkn

nur nochmal kurz zur erläuterung: ich habe quasi ne lange liste von ip-adressen, die ich bei zugriff einfach ne zeit lang pauschal blocken will. die sieht dann in ungefaehr so aus:

## Country: CONGO, THE DEMOCRATIC REPUBLIC OF THE
# ISO Code: CD
# Total Networks: 9
# Total Subnets: 15,872
41.79.232.0/22
41.189.192.0/19
41.190.80.0/22
41.215.252.0/22
41.222.196.0/22
41.222.216.0/22
41.223.104.0/22
193.110.104.0/23
196.22.8.0/22

nun soll das gute fail2ban einfach diese liste mit den access-logs vergleichen und wenn die ip auf der liste ist, diese an die openvcp-fw übergeben und blocken. fuer iptables gibts da ja ganz gute scripte um solche blacklists zu pflegen. nur leider haben wir diese möglichkeit ja nicht auf den vservern!

danke fuer eure tipps & by
jkn

ich hab mal noch ne andere frage zu dem script: und zwar wollte ich von http://www.countryipblocks.net…ry-blocks/select-formats/ gleich paar länder komplett aussperren, egal ob die nun auf port 80 oder was auch immer zugreifen wollen. die auf der seite generierte liste ist ja nicht gerade kurz. gibts da auch noch irgend einen weg ne standard blacklist-datei mit deny.hosts bzw. gleich mit dem openvcp-fw zu syncronisieren bzw. aktuell zu halten???

danke & mfg
jkn

hallo ihr beiden,
also das angepasste script von stachi läuft bei mir super aufm testserver.

nu bin ich nur noch bissel am rumprobieren um den ganzen w00-kram etc. in die badhosts aufzunehmen & draussen zu halten.

bis später
jkn

danke! das wäre super!

wenn man schon auf den vservern keine vernuenftige komplettloesung wie CSF (ConfigServer Security & Firewall) auf iptables basis installieren kann, waere sowas generell eine gute ergänzung zum netcup angebot.

mfg
jkn

hmmm... nein! funktioniert leider nicht! :confused:

hmm... soweit war ich zu dem zeitpunkt noch nicht mit der überprüfung. aber du hast recht, mit dem standartscript werden die firewalleinträge bei unban durch fail2ban nicht gelöscht.

was musstest du anpassen, damit der spass funktioniert hat?

danke
jkn

hallo,
ok ... habs gefunden... problem war wohl der fehlende pfad! fuer alle die auch etwas unerfahren am rumprobieren mit fail2ban sind, die hoffentlich richtige neue config, muss dann so aussehen:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 661 $
#
# 
[Definition]
# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = 
# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = 
# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck = 
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionban = /etc/fail2ban/action.d/sync.sh <ip> add
# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: <ip> IP address
# <failures> number of failures
# <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = /etc/fail2ban/action.d/sync.sh <ip> del