Beiträge von Zlypher

    Ärgerlich, wenn soetwas passiert.


    Wozu ich dir in Zukunft auf jeden Fall raten kann ist, dass man beim ssh login von root verbietet und stattdessen als ein anderer User einloggt und sich dann zum root macht.
    Damit nimmst du angreifern wieder einen Angriffspunkt.
    Angreifer wissen, dass es einen Benutzer root gibt daher versuchen die meisten immer den benutzer root mit riesigen passwortlisten (bruteforce).
    Wenn du jetzt den Benutzer root den Login verbietest, können die die Liste 100 mal probieren :)


    In der Firewall alles blockieren und dann einzeln z.B. Port 80 für http von außen öffnen oder eben die ports deiner Teamspeak-server....


    Des weiteren befasse dich einmal mit fail2ban.
    Fail2ban wie soll ich sagen überwacht deine logs n bischen also wenn z.B. eine IP innerhalb von x sekunden x mal versucht einzuloggen, wird dieseip tempotär in der Firewall auf geblockt gesetzt.
    Fail2Ban Script für die VCP API



    Wenn du irgentwie hilfe benötigen solltest oder fragen haben solltest, stehen dir sicherlich viele zur Seite.Und zum absichern eines servers gibt es auch schon viele viele tutorials und Threads...
    Kannst dich ja auch gern per pn an mich wenden oder du sendest mir eine email :)


    liebe Grüße Steffen

    Hallo,


    das ist auch abhängig davon, was noch alles auf der Wirtsmaschine läuft.
    Wenn du einmal sehen möchtest, wie ausgelastet das Wirtssystem ist, kann ich dir htop empfehlen das zeigt es sogar schön farbig an :D


    Des weiteren wäre es ganz interessant zu wissen wann die lags auftreten... (zeiten, wie voll ist der server etc..., wochentag).


    lg Steffen

    Ich persönlich nutze TS3 seit langen auf Servern und bin sehr zufrieden, die neueren Versionen vor allem haben viele Sicherheitslücken geschlossen und solange man den Server richtig von den Servergruppen konfiguriert passiert auch nichts, vielleicht schreibe ich mal eine Anleitung für das Wiki.
    Bereits die Standardeinstellung eines TS3 Servers sind rechte mäßig so, dass keiner was machen kann, solange er nicht von Serveradmin die Rechte bekommt.

    Eine Anleitung für das Wiki wäre wirklich nicht schlecht das hilft sicherlich einigen leuten...


    Und ich finde es auch ok, dass dieses Thema offen bleibt. Wobei dies scheint eine never-ending-story zu werden :)


    lg Steffen

    Auf jeden Fall cool das bei Dir jetzt auch alles geht. :)
    Ne Idee wegen Config Include habe ich nicht. In der Manual hab ich auf die Schnelle auch nichts gefunden.

    Ist ja kein Problem geht auch so wäre eben nur ein nice2have gewesen :)
    Ja und das es nun auch bei mir geht freut mich auch sehr war ja nur sehr knapp angebunden in letzter Zeit :)
    Es lag letztendlich wirklich an der Regex für die apache-nohome.conf

    Code
    failregex = [[]client <HOST>[]] File does not exist: .*/~.*
            	\[error\] \[client <HOST>\] File does not exist.*


    also dann danke für die Hilfe und für das super script :)


    lg Steffen

    Hi das stimmt schon aber diese Eine Zeile macht ja den Braten auch nicht dick wollte es ja nur vorschlagen :)


    aber einmal eine andere Frage:


    ist es möglich die jail.conf zu splitten in 2 Dateien z.B. die jail.conf mit den Default-Einstellungen etc und eine 2te wo dann alles einzeln eingestellt wird (apache, ssh etc)


    denn ich würde das ganz praktisch finden vorallem bei größeren Ansammlungen von einstellungen nur googlewar ich erfolglos und include meckert er immer mit der syntax :)


    Es muss doch eine Möglichkeit geben oder?
    Wenn ja wäre es nett eine Beispiel-Zeile zu posten :) danke...



    Liebe Grüße Steffen

    Hallo sim,


    ich habe mir einmal die Idee angesehen mit der Auslagerung der Konfiguration, da ich soetwas immer viel praktischer finde...
    und habe in der Konsole immer einen Hinweis vom php bekommen, dass die default Zeitzone nicht gesetzt ist...


    Code
    PHP Warning:  date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected 'Europe/Berlin' for 'CEST/2.0/DST' instead in /opt/fail2ban/nc_vcp_firewallapi.php on line 92
    Firewall rule added.


    habe daher einmal dein Script um eine Zeile erweitert, vielleicht magst es ja zukünftig übernehmen...


    Auszug der nc_vcp_settings.php:




    [edit]
    achja noch eines...
    in deiner Anleitung ist dir meines Erachtens nach ein schreibfehler unterlaufen..
    müsste der Befehl


    Code
    apt-get install php-cli


    nicht

    Code
    apt-get install php5-cli


    lauten?



    liebe Grüße Steffen

    oh...
    blind bin ich auch noch :D


    Danke fürdie Rasche Antwort.
    Schauen wir doch mal, ob wir den Spaß zum laufen bekommen ^^


    Liebe Grüße


    Steffen



    [edit]
    Also ich bin nun schon einmal einen Schritt weiter gekommen....
    Der manuelle Aufruf funktioniert problemlos somit also auch das Script :)
    Im fail2ban log sehe ich nur, dass er die Logfiles läd (korrekt) und die Zeiten setzt, so wie es auch sein soll,,
    Wo anscheinend der Fehler liegt ist in der Erkennung der Einträge im Log, denn ich kann diese gewollt volllaufen lassen und fail2ban erkennt diese nicht.


    Die Einträge im Logfile sehen folgender maßen aus:


    Code
    [Fri Apr 20 19:22:06 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:07 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:07 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:07 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:07 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:07 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:07 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf
    [Fri Apr 20 19:22:08 2012] [error] [client 188.195.111.171] File does not exist: /var/www/default/test1bgf


    die Regex, welche dieses erkennen sollte ist folgende:


    Code
    failregex = [[]client <HOST>[]] File does not exist: .*/~.*


    entweder habe ich etwas gewaltiges übersehen oder es passt in meinen Augen eigentlich...
    hat jemand eine Idee, woran es sonst liegen könnte?


    Wie gesagt fail2ban erkennt die richtigen Logfiles aber erkennt es nicht, wenn ich das Logfile gewollt so vollspamme...
    Einstellungen sind:


    maxentry 3
    findtime 2
    bantime 600



    liebe Grüße


    Steffen

    Hallo,


    erst einmal vielen lieben Dankfür das Script.
    Nun habe ich jedoch eine Frage, für welche mich so manch einer sicher steinigen möchte ^^
    Und zwar weiß ich gerade nicht, wie ich die Funktionalität manuell testen kann. Und wäre sehr glücklich darüber, wenn man mir einmal eine Beispielzeile posten könnte.
    Grund: ich habe dasscript eingebaut jedoch funktioniert es nicht.
    Nun möchte ich natürlich einschränken, woran es liegt und beginne somit bei 0 und möchte schauen, ob ich alles richtig eingebunden habe und obeine manuelle sperrung / entsperrung möglich ist.
    Wenn dieses geht, dann muss es ja entweder an der Regex liegen oder an der Einbindung der Logs generell :)


    Für eine potenzielle Hilfestellung / Musterlösung bin ich bereits Dankbar.


    Liebe Grüße


    Steffen

    Hallo,


    ich bleibe vorerst dem TS3 gegenüber etwas misstrauisch.
    Liegt vielleicht auch daran, dass ich es nicht zwingend benötige :)


    Dennoch werde ich bei Gelegenheit mich wohl einmal damit beschäftigen, da ich gerne neues lerne und das klingt schon nach einer kleinen Herausforderung.
    Jedoch wie gesagt ein Misstrauen ist da und daher stellt sich mir persönlich die Frage ob jemand mit Erfahrung sich vielleicht bereit erklären könnte / würde einmal eine netcup edition einer TS3-Installationsanleitung zu verfassen als Hilfestellung für Anfänger, Experimentierfreudige und auch andere erfahrene Benutzer etc..


    Sicherlich gibt es da tausende und auch gute Anleitungen bereits im Netz, jedoch ist es immer etwas anderen ob ein netcup kunde seine Erfahrungen / Hinweise mitteilt oder jemand von der chancenlosen Konkurrenz :).


    Danke im Vorraus für eventuelle Hilfestellungen und allen weiterhin viel Spaß, Erfolg und Problemlosigkeit mit dem Server...

    Das wird dir nichts / wenig bringen...


    Das sind meistens irgentwelche Programme etc, welche die Domain auf verschiedene, meist typische tools durchsuchen wie z.B. phpmyadmin.
    Wenn diese programme fünsig werden kann muss aber nicht die nächste welle folgen, wo die dann z.B. versuchen sich in phpmyadmin einzuloggen mit benutzer root und einem lexikon an möglichen Passwörtern (brute-force).


    Fail2Ban ist da ein Super tool, bei dem du bestimmen kannst, nach wievielen Einträgen im Log innerhalb von x Sekunden. Eine IP für wie lang gesperrt werden soll.
    Da musst einfach mal das Forum durchsuchen, da gibt es einen Weg, fail2ban auf den vServern hier funktionsfähig zu machen.


    lg Zlypher ich hoffe ich konnte helfen :)

    Hallo nochmals,


    Info vorne weg fail2ban scheint nun endlich anständig zu laufen :)
    Hab da gerade einmal eine 1 wöchige Testphase angesetzt.


    Nun aber zu meiner nächsten "Problematik".


    hat jemand bereits eine Lösung gefunden, wie man die W00tW00t und proxyheader etc sperren kann?


    Es steckt ja überall ein Muster dahinter
    jede Zeile, enthält:


    domain.tld:port zuBlockendeIp - - DATE "GET ******* HTTP/1.1" .........


    Das muss man doch in einer RegEx abbilden können...
    Leider bin ich mit den Exen nicht so fit und habe heute den ganzen Tag herum probiert und letztendlich doch alles gelöscht, weils nicht klappen wollte.
    Die Regexen, die man im internet findet, und welche auch sinnvoll erscheinen die greifen jedoch leider alle nicht (siehe zweiten Anhang)



    (domainname durch domain.tld:80 ersetzt!)

    Code
    domain.tld:80 58.218.199.147 - - [30/Aug/2011:12:03:01 +0200] "GET http://www.shopsline.com/proxyheader.php HTTP/1.1" 404 537 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
    domain.tld:80 31.210.72.42 - - [30/Aug/2011:18:05:17 +0200] "GET /user/soapCaller.bs HTTP/1.1" 404 471 "-" "Morfeus Fucking Scanner"
    domain.tld:80 94.102.209.211 - - [30/Aug/2011:18:22:52 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 509 "-" "-"
    domain.tld:80 58.218.199.147 - - [30/Aug/2011:20:43:39 +0200] "GET http://www.silkool.com/cgi-bin/son!fuckyou.php HTTP/1.1" 404 543 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
    domain.tld:80 58.218.199.250 - - [30/Aug/2011:20:44:49 +0200] "GET http://ppcfinder.net/judge.php HTTP/1.1" 404 527 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
    domain.tld:80 58.218.199.227 - - [30/Aug/2011:20:52:06 +0200] "GET http://financeande.com/feed/feed.php HTTP/1.1" 404 533 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
    domain.tld:80 109.203.96.174 - - [30/Aug/2011:21:09:05 +0200] "GET /horde//README HTTP/1.1" 404 469 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
    domain.tld:80 195.50.168.2 - - [30/Aug/2011:23:40:30 +0200] "HEAD / HTTP/1.0" 200 229 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)"
    domain.tld:80 58.218.199.250 - - [31/Aug/2011:00:13:05 +0200] "GET http://218.83.152.252/judge112233.php HTTP/1.1" 404 534 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


    hier versuchte ich nur die w00tw00t zu ergreifen



    Ich weiß viele Sagen nun sicher ich kann diese getrost ignorieren...
    Jedoch bin ich von Grund auf Misstrauisch und somit vorsichtig :)


    Vielleicht hat ja jemand eine Idee, wie man dieses als Regex abbilden könnte oder es hat bereits jemand soetwas schon implementiert.


    Liebe Grüße Steffen

    Ich hab grad meinen Testserver Ubuntu 10.04LTS installiert um zu testen woran es liegen könnte... Nur leider hats funktioniert...


    Da ich keine Erfahrung mit Ubuntu habe und fail2ban beim testen mit meinem Script funktioniert hat, kann ich dir leider nicht weiter helfen als narayan es schon getan hat.
    Ich kann höchstens noch die Vermutung äußern, dass es irgendwo an den Dateirechten hakt... ansonsten Wünsche ich dir noch viel Glück bei der Fehlersuche und wenns nicht klappt... ich empfehle Debian :thumbup:


    Hmm ich hab nun auch extra den Server neu aufgesetzt mit Ubuntu 10.4LTS jedoch gehts bei mir wieder nicht!!! Ich verzweifel nun langsam


    [edit]
    habe nun spaßenshalber einmal der sh sowie der conf 0777 vergeben, das hat aber auch nicht geholfen.


    [edit2]
    habe es nun halbwegs zum laufen gebracht. der Fehler ist etwas kurios, wenn ich 3 mal falsche benutzer versuche, dann bin ich gesperrt, 3 mal falsches passwort jedoch funktioniert nicht.
    Da muss ich mir die regex noch einmal genauer ansehen, welche im Filter liegt.
    Jedenfalls an alle vielen Lieben dank für die Hilfe und weiterhin noch viel Erfolg.

    Vielleicht könntest mir einmal die Dateirechte von dir durchgeben für die sync.conf und die sync.sh soewie den ordner, in dem die liegen!!


    danke schonmal.


    Wenn ich auf dateirechtlichem wege nichts finde, dann werde ich das ganze system eben noch einmal neu aufsetzen so schwer kann das ja nicht sein :)

    hab ich gemacht, hier die Ausgabe: