fail2ban Meldung

pixbox · Beitrag von **pixbox** » Mi 8. Jun 2011, 08:11

habe im fail2ban log folgende Meldungen bekommen

2011-06-08 07:46:59,742 fail2ban.actions: WARNING [cccam_sign] Ban 1xx.63.122.1xx
2011-06-08 07:46:59,744 fail2ban.actions: WARNING [cccam_illegal] Ban 1xx.63.122.1xx
2011-06-08 08:16:59,755 fail2ban.actions: WARNING [cccam_sign] Unban 1xx.63.122.1xx
2011-06-08 08:16:59,762 fail2ban.actions: WARNING [cccam_illegal] Unban 1xx.63.122.1xx
2011-06-08 08:19:22,928 fail2ban.actions: WARNING [cccam_sign] Ban 1xx.63.122.1xx
2011-06-08 08:19:22,933 fail2ban.actions: WARNING [cccam_illegal] Ban 1xx.63.122.1xx
2011-06-08 08:49:22,933 fail2ban.actions: WARNING [cccam_sign] Unban 1xx.63.122.1xx
2011-06-08 08:49:22,935 fail2ban.actions: WARNING [cccam_illegal] Unban 1xx.63.122.1xx
2011-06-08 08:52:11,135 fail2ban.actions: WARNING [cccam_illegal] Ban 1xx.63.122.1xx
2011-06-08 08:52:11,137 fail2ban.actions: WARNING [cccam_sign] Ban 1xx.63.122.1xx

dann hab ich mal nach der IP gesucht und folgendes gefunden
static.1xx.122.63.178.clients.your-server.de

wenn ich per [iptables -L] in den iptables suche, finde ich folgenes

Code: Alles auswählen

Chain fail2ban-cccam_illegal (1 references)
target     prot opt source               destination
DROP       all  --  static.1xx.122.63.1xx.clients.your-server.de  anywhere      
RETURN     all  --  anywhere             anywhere

Chain fail2ban-cccam_sign (1 references)
target     prot opt source               destination
DROP       all  --  static.1xx.122.63.1xx.clients.your-server.de  anywhere

Meine Frage, muß ich beunruhigt sein, oder ist das normal

Beitrag von **TommyH99** » Mi 8. Jun 2011, 09:04

Ich stelle mir gerade die Frage - ob du überhaupt weißt, was FAIl2BAN machen soll?!

Das ist die Arbeit von fail2ban - zu kontrollieren ob jemand UNERLAUBT bei dir mit schauen möchte.

Sprich, gibt es keine passende F: Line und es kommt eine anfrage wird er nach x versuchen gebannt für eine bestimmte Zeit.

Siehe auch => http://ipc.pebkac.at/forum/viewtopic.php?f=2&t=95

Beitrag von **feissmaik** » Mi 8. Jun 2011, 11:26

...kommt drauf an was du unter Normal verstehst bzw auf was genau sich deine Frage bezieht?

Am Rande:

Spoiler

Show

gib mal so zum spass folgendes auf deinem Linuxrechner ein: whois 178.63.122.1xx - oder um denjenigen zu scannen welche Ports er so auf hat: nmap 178.63.122.1xx

Code: Alles auswählen

Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-08 10:21 UTC
Interesting ports on static.1xx.122.63.178.clients.your-server.de (178.63.122.1xx):
Not shown: 993 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
1300/tcp  open  unknown
1600/tcp  open  issd
12000/tcp open  cce4x
16000/tcp open  unknown
16001/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 0.83 seconds

...nicht gerade schlau der Typ - auf nem inet server Standardports... das is quasi scho ne Einladung...

pixbox · Beitrag von **pixbox** » Mi 8. Jun 2011, 15:29

Ich weiß schon was Fail2ban macht, nur klopft der Vogel immer noch bei mir an der Tür.
Hab jetzt auch die Bantime wie in dem Link erhöht.

Beitrag von **feissmaik** » Mi 8. Jun 2011, 15:40

Jemanden dauerhaft aussperren: iptables -A INPUT -p tcp --source IP -j DROP
(solange man nicht rebooted o.ä.)

Eine weitere Alternative ist auch hier beschrieben...

//EDIT: nano /sbin/_ban

Code: Alles auswählen

#!/bin/bash
[ -z "$1" ] && echo "Usage: $0 <IP>" && exit 0
iptables -A INPUT -p tcp --source $1 -j DROP

chmod +x /sbin/_ban
_ban

IPC

fail2ban Meldung

fail2ban Meldung

Re: fail2ban Meldung

Re: fail2ban Meldung

Re: fail2ban Meldung

Re: fail2ban Meldung

Wer ist online?