Frage zu fail2ban

[Markowitsch]

.. über den Benutzernamen wäre halt schön gewesen.

Somit sind ja eigentlich nur [cccam_2login] und [cccam_illegal] wirklich interessant. Bei den anderen beiden kann man sich scheinbar nicht genau sicher sein, ob der Bann auch wirklich gewünscht ist.. Ich z.B. muss die SCAM als Client benutzen und sperr mich damit immer aus.

Welche habt ihr denn aktiv und warum?

[TommyH99]

2login und signatur - mehr braucht man nicht! siehe auch i os fail2ban => optimale installation
und wieso, sollte eh klar sein

[feissmaik]

signature failed - Meldungen wirft CCcam auch aus nachdem sich ein illegal-user einzuloggen versuchte - deswegen ist das "optimal"

ich hab cccam_version_clients als Munin Plugin laufen und anhand dessen sehe ich dann wenn ein Client unerwünscht 2.2.x benutzt und dann guck ich ins syslog um an dem Tag den jeweiligen User herrauszufinden und schreib den dann an bevor ich ihn aussperre....

Zum beispiel CCcam 2.2.1:

Code: Alles auswählen

May 27 22:47:38 ipc CCcam: client Test3@c38563288b859667, running CCcam 2.0.11
May 27 22:47:49 ipc CCcam: login from 10.0.2.2
May 27 22:47:49 ipc CCcam: user Test3 login attempt from 10.0.2.2
May 27 22:47:49 ipc CCcam: double login (Test3), (previous 10.0.2.2), reject
May 27 22:47:49 ipc CCcam: kick 10.0.2.2(), bad command
May 27 22:47:49 ipc CCcam: login from 10.0.2.2
May 27 22:47:49 ipc CCcam: user Test3 login attempt from 10.0.2.2
May 27 22:47:49 ipc CCcam: double login (Test3), (previous 10.0.2.2), reject
May 27 22:47:49 ipc CCcam: kick 10.0.2.2(), bad command

Und mit CCcam 2.1.1:

Code: Alles auswählen

May 28 09:55:30 ipc CCcam: new tcp client from 10.0.2.2
May 28 09:55:31 ipc CCcam: user Test3 login attempt from 10.0.2.2
May 28 09:55:31 ipc CCcam: client Test3@79716000d25206e7, running CCcam 2.0.11
May 28 09:55:31 ipc CCcam: 0 cards --> client 10.0.2.2(Test3) (took 0.0008 seconds)
May 28 09:56:51 ipc CCcam: configfile changed. Updating...
May 28 09:57:08 ipc CCcam: deleting client 10.0.2.2(Test3), bad command

Test3 nutzt als clientsoft Hadu


(jetzt bin ich aber gerade etwas verwirrt weil die double login meldung von dem filter abweicht?)

[TommyH99]

cccam_sign sind Logmeldungen von CCcam bezüglich signature failed ... wann/warum die genau von CCcam erzeugt werden weiss ich leider auch nicht (mehr) genau - soweit ich weiss kommt eine "siganture failed" Meldung aber auch wenn sich jemand unbekanntes oder 2x einlogged

cccam_illegal sind, wie bereits bekannt, Verbindungsversuche ohne passende F-line

jetzt hab ich mich nochmals mit fail2ban gespielt


illegal ist das selbe wie sign - bzw macht das selbe ... oder wo is der unterschied?! weil am ende es eh immer ein signature failed ist - er filtert halt 1 zeile früher.


hab jetzt mal nur sign eingschalten gehabt und testweise auch sign und illegal plugin


F: Line nicht vorhanden - cccam-illegal

May 30 04:50:39 csserver CCcam: login from xx.xx.xx.xx
May 30 04:50:39 csserver CCcam: illegal user messi from xx.xx.xx.xx
May 30 04:50:39 csserver CCcam: kick xx.xx.xx.xx, signature failed

2011-05-30 04:50:41,723 fail2ban.actions: WARNING [cccam_illegal] Ban xx.xx.xx.xx

F: Line nicht vorhanden - cccam-sign

May 30 04:11:19 csserver CCcam: login from xx.xx.xx.xx
May 30 04:11:19 csserver CCcam: illegal user test from xx.xx.xx.xx
May 30 04:11:19 csserver CCcam: kick xx.xx.xx.xx, signature failed

2011-05-30 04:11:41,657 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.xx.xx

falsches pwd - cccam-sign

May 30 04:16:39 csserver CCcam: user xyz login attempt from xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: wrong password supplied by xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: kick xx.xx.xx.xx3, signature failed

2011-05-30 04:16:40,782 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.xx.xx

wenn sign und illegal gleichzeitig laufen, wird es auch DOPPELT gebannt :>

2011-05-30 05:13:26,169 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.44.85
2011-05-30 05:14:03,133 fail2ban.actions: WARNING [cccam_illegal] Ban xx.xx.44.85

und double login wird nicht gebannt, weil failregex falsch ist

May 30 04:42:18 csserver CCcam: login from 192.168.1.135
May 30 04:42:18 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:18 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:18 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:29 csserver CCcam: login from 192.168.1.135
May 30 04:42:29 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:29 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:29 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:40 csserver CCcam: login from 192.168.1.135
May 30 04:42:40 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:40 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:40 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:51 csserver CCcam: login from 192.168.1.135
May 30 04:42:51 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:51 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:51 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:02 csserver CCcam: login from 192.168.1.135
May 30 04:43:02 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:02 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:43:02 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:12 csserver CCcam: login from 192.168.1.135
May 30 04:43:12 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:12 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:43:12 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:23 csserver CCcam: login from 192.168.1.135
May 30 04:43:23 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:23 csserver CCcam: double login (patrick), (previousxx.xx.xx.xx), reject
May 30 04:43:23 csserver CCcam: kick 192.168.1.135(), bad command

[cccam_2login]
enabled = true
port = 12001
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 3

[Definition]
failregex = CCcam: double login .*, .* \(<HOST>\)
ignoreregex =

Richtig wäre, failregex = CCcam: double login .*, \(previous <HOST>\), reject

2011-05-30 05:41:25,629 fail2ban.actions: WARNING [cccam_2login] Ban xx.xx.xx.xx

Aktive CCcam Version : 2.1.3

[Markowitsch]

illegal ist das selbe wie sign - bzw macht das selbe ... oder wo is der unterschied?! weil am ende es eh immer ein signature failed ist - er filtert halt 1 zeile früher.

Ich hatte auch die ganze Zeit über illegal aktiv und hab mich damit immer selbst ausgesperrt, wenn ich SCAM als Emu verwendet hatte. Jetzt, wo ich auf sign umgestellt habe, scheint es problemlos zu funktionieren!?

Der Unterschied zwischen den beiden würde mich auch interessieren..

[feissmaik]

das kann ich mir kaum vorstellen - interessant wäre die entsprechende fail2ban.log mit der jeweiligen fail2ban/filter/*.conf zu sehen... vllt hattest du auch nur eine unpassende filter config zu deiner aktuellen CCcam Version - wenn du zb von 2.0.11 oder 2.1.1 auf eine neuere gewechselt hast, musst du das fail2ban Script auch nochmal neu ausführen damit die Filter entsprechend angepasst/aktualisiert werden...

...eigentlich wirft CCcam "illegal user" Meldungen nur aus wenn sich eben ein 'unbekannter' Benutzer anzumelden versucht... also zb benutzer XYZ versucht sich bei dir zu connecten aber es gibt garkeine passende F-line für den user XYZ.. Oder wenn das übertragene Password nicht korrekt ist (wrong password)

"signature failed" hingegen kommt ziemlich oft - eben auch wenns zb ne "illegal user" Meldung gibt - eben weil die signature des 'unbekannten' Benutzers fehlerhaft ist - ich weiss nicht genau wann die signature immer überprüft wird aber zb bei allg. Verbindungen wäre es plausiebel (sowas wie ein MD5 hash check zb bei Files, ob das geladene auch noch dem erwarteten Original entspricht)


IPC hat übrigends standardmässig auch "illegal user" , "bad command" und "wrong password" Logs an
- siehe das Ende der Datei /etc/rsyslog.conf
- und dazu die Befehle cccam iu und cccam bc
(was aber btw keine tolle Lösung ist weshalb ich das an eurer stelle abschalten würde wenn ihrs eh nich nutzt...)