Vll steh ich auf dem Schlauch. Aber so wie ich es verstanden habe schau, recidive wie oft eine IP schon gebannt wurde und die, die öfters gebannt wurde werden lange ausgesperrt.
Die wurden aber bei mir nicht gebannt, s.o.
Denn wenn der Filter zum bannen angesprochen hätte, wäre das Problem bei meiner Banntime von einem Jahr ja erledigt
oder verstehe ich was falsch?
Ja 10000 Scans von der gleichen IP, aber eben mehrere. Bisher auch in der Firewall gesperrt. Hab aber keine Lust das immer manuell zu machen, daher die Frage ob es was gibt, was solche Brüder automatisch sperrt
Danke, aber wenn ich es recht verstehe schützt das dann verwendeten SSH Port. Es verhindert aber nicht das von mir angesprochene scannen nach dem richtigen SSH Port.
Was ich mir vorstelle ist, dass eine IP nach 1 oder 2 Fehlversuchen auf welchem Port auch immer geblockt wird. Nein ich sperre mich damit nicht selbst aus:)
System ist Ubuntu 20.04 LTS
Hallo,
seid ein paar Tagen habe ich massive Portscans und Versuche (teilweise
10000 pro Tag von der gleichen IP) sich auf dem Server per SSH
einzuloggen.
Geht zwar nicht, da keine Root Anmeldung möglich, SSH Port gewechselt, nur mit SSH Key + Passwort + 2 FA.
Trotzdem geht es mir auf die "Nerven".
Gibt es keine Möglichkeit das ganze mit Fail2Ban etc zu blocken?
Ich habe bereits eine Fail2Ban Regel, die läuft dabei aber ins Leere:
enabled = true
port = mein SSH Port
filter = sshd
maxretry = 1
logpath = %(sshd_log)s
backend = %(sshd_backend)s
#findtime: 1 year
findtime = 31536000
#bantime: 1 year
bantime = 31536000
Immer wieder mal sind auch mod_proxy requests dabei (Nginx). Auch hier habe ich eine Regel, die aber nur selten Wirkung zeigt.
[nginx-noproxy]
enabled = true
port = http,https
filter = nginx-noproxy
logpath = /var/log/nginx/access.log
maxretry = 0
#findtime: 1 year
findtime = 31536000
#bantime: 1 year
bantime = 31536000
Hat jemand Tipps?
Danke
Ich vermute mal du hast `net.ifnames=0` oder ähnliches gesetzt in grub. https://www.freedesktop.org/wi…bleNetworkInterfaceNames/
Ich hab gar nix gesetzt. In welcher Datei muss ich nachsehen? Ist das jetzt gut oder schlecht?
Code1 Time(s): TCP: request_sock_TCP: Possible SYN flooding on port xy. Sending cookies. Check SNMP counters
Bitte mal die Ausgabe von
Codesysctl net.ipv4.tcp_syncookies
posten.
Hier die Ausgabe:
net.ipv4.tcp_syncookies = 1
Keine Ideen?
Hallo,
ich habe in meinen Logwatch einträgen 3 Punkte, die ich nicht so richtig zuordnen kann.
Kann mir hier jemand grob sagen, was die bedeuten?
1 Time(s): TCP: request_sock_TCP: Possible SYN flooding on port xy. Sending cookies. Check SNMP counters
Das hier scheint wohl von Docker zu sein, aber was und warum wurde das gemacht?
Kernel
1 Time(s): IPv6: ADDRCONF(NETDEV_CHANGE): veth441xxa2e6: link becomes ready
1 Time(s): device veth3643dxx0 left promiscuous mode
1 Time(s): device veth441a2exx6 entered promiscuous mode
3 Time(s): docker0: port 2(veth36xxx43d90) entered disabled state
3 Time(s): docker0: port 2(veth441axx2e6) entered blocking state
2 Time(s): docker0: port 2(veth441a2xxe6) entered disabled state
2 Time(s): docker0: port 2(veth441axx2e6) entered forwarding state
1 Time(s): eth0: renamed from vetha9xxcc991
1 Time(s): veth8838xxe6f: renamed from eth0
|
1 Time(s): IPv6: ADDRCONF(NETDEV_CHANGE): vethf3543xxx: link becomes ready |
|
3 Time(s): br-59f0e3exxx: port 1(vethd5cd3xx) entered disabled state |
|
3 Time(s): br-59f0e3exxxx: port 1(vethf3543xxe) entered blocking state |
|
2 Time(s): br-59f0e3exxxx: port 1(vethf354xxe) entered disabled state |
|
2 Time(s): br-59f0e3exxxx: port 1(vethf354xxe) entered forwarding state |
|
1 Time(s): device vethd5cdxxx left promiscuous mode |
|
1 Time(s): device vethf354xxx entered promiscuous mode |
|
1 Time(s): eth0: renamed from veth1dbfbxx |
|
1 Time(s): veth7eeebxx: renamed from eth0 |
Danke & viele Grüße
Ja, das Netcup das auch anbietet weiß ich schon. Aber vll. gibt es ja bessere Anbieter oder Anbieter die dafür eine bessere Leistung bieten:)
Hallo,
ich habe mit dem Betreiber eines meiner Webspace (nicht Netcup) zur Zeit ein paar Prbleme was Erreichbarkeit angeht. Ich überlege die Domains "irgendwo" selbst zu registieren / transferieren und dann ggfs. irgendwo anders ein webhosting Paket zu suchen und die Domains dort aufzuschalten.
Auf was sollte ich bei einem ".net" Anbieter achten?
Über die gängigen Suchmaschinenen finden sich ja 1000-de Anbieter
Danke für Tipps.
Such mal bei c-rieger.de nach dem BorgBackup. Easy. nur anpassen
Der Webspace ist nicht bei Netcup (hab ich nie behauptet). Die Idee war wie lsyncd vom Server (bei Netcup) den Ordner auf dem Webspace überwachen, neue Dateien zu Ziel kopieren / verschieben, die Dateien aus der Quelle löschen und ggfs. den owner ändern.
Und ne Lösung per Cronjob hätte ich, da ist aber nen zeitliche Verzögerung drin.
gibts sonst Tipps?
richtig im Webhosting fall hilft das nicht...
Nur zur Sicherheit. Die Lösung sollte wie lsyncd den Ordner überwachen, neue Dateien zu Ziel kopieren / verschieben, die Dateien aus der Quelle löschen und ggfs. den owner ändern.
Geht das?
Jetzt aber mal ne andere Frage. Diese Lösung war für einen Fall indem beide Ordner Quelle und Ziel auf einem Server waren.
Ich hab noch ein anderes Problem:
Auf einem Shared Webspace FTP Account mit SSH Zugang, aber ohne Root Rechte um was zu installieren, liegt ein anderer FTP Ordner, dessen Inhalt ich analog auf Server A in einen Ordner kopieren / verschieben möchte.
In diesem Fall müsste das "Tool" praktisch die Daten vom Shared Webspace FTP per SSH ziehen, also kopieren zum Server A und danach von der Quelle löschen, oder eben gleich verschieben...
Geht das auch irgendwie?
Danke so funktioniert es:
_extra = {"-og", "--chown=www-data:www-data", "--remove-source-files"}
Danke, dass probier ich mal. Die _extra Option nutze ich schon, dass man das dort einbauen kann, wusste ich nicht...
Nachhher gleich mal probieren
Ja, die NC läuft auf meinem eigenen Server.
Cronjob wollte ich eigentlich
nicht machen, weil ich da immer warten muss bis der wieder durch ist. Mit
Cronjob hätte ich gleich den FTP in NC einbinden können und einen Cronjob mit
files:scan laufen lassen können. Wegen der Verzögerung kopiere ich in das NC
Verzeichnis. Und wenn Daten im NC Verzeichnis sind braucht es auch kein
files:scan mehr. Es reicht in der config.php
'filesystem_check_changes' => 1
Das geht aber nur in Ordnern, die im NC
Datenverzeichnis liegen. Externe eingebunde Quellen, wie FTP, braucht es
files:scan.
Deswegen wäre ne andere Lösung gut...:)
Hallo,
ich kopiere automatisch Dateien mit lsyncd von einem FTP Ordner in einen Ordner im Datenverzeichnis meiner Nextcloud, damit die Daten dort zur Verfügung stehen.
Kopieren klappt, aufrufen lassen sich die Dateien aber nicht. Der Besitzer ist nämlich root, unter dem lsyncd läuft. Für Nextcloud müsste der Besitzer aber www-data sein.
Kann man den Besitzer irgendwie automatisch nach abgeschlossenem Kopiervorgang auf www-data für alle Dateien ändern?
Danke für Tipps
