Frage zu fail2ban
-
- IPC Neuling
- Beiträge: 16
- Registriert: So 15. Mai 2011, 11:59
- Kontaktdaten:
Re: Frage zu fail2ban
.. über den Benutzernamen wäre halt schön gewesen.
Somit sind ja eigentlich nur [cccam_2login] und [cccam_illegal] wirklich interessant. Bei den anderen beiden kann man sich scheinbar nicht genau sicher sein, ob der Bann auch wirklich gewünscht ist.. Ich z.B. muss die SCAM als Client benutzen und sperr mich damit immer aus.
Welche habt ihr denn aktiv und warum?
Somit sind ja eigentlich nur [cccam_2login] und [cccam_illegal] wirklich interessant. Bei den anderen beiden kann man sich scheinbar nicht genau sicher sein, ob der Bann auch wirklich gewünscht ist.. Ich z.B. muss die SCAM als Client benutzen und sperr mich damit immer aus.
Welche habt ihr denn aktiv und warum?
Re: Frage zu fail2ban
2login und signatur - mehr braucht man nicht! siehe auch i os fail2ban => optimale installation
und wieso, sollte eh klar sein
und wieso, sollte eh klar sein
if ($ahnung == false or $problem == true) { read FAQ; use SEARCH; use GOOGLE; } else { use brain; make post; }
-
- Entwickler Team
- Beiträge: 2576
- Registriert: So 17. Apr 2011, 11:39
- Been thanked: 1 time
- Kontaktdaten:
Re: Frage zu fail2ban
signature failed - Meldungen wirft CCcam auch aus nachdem sich ein illegal-user einzuloggen versuchte - deswegen ist das "optimal"
ich hab cccam_version_clients als Munin Plugin laufen und anhand dessen sehe ich dann wenn ein Client unerwünscht 2.2.x benutzt und dann guck ich ins syslog um an dem Tag den jeweiligen User herrauszufinden und schreib den dann an bevor ich ihn aussperre....
Zum beispiel CCcam 2.2.1:
Und mit CCcam 2.1.1:
Test3 nutzt als clientsoft Hadu
(jetzt bin ich aber gerade etwas verwirrt weil die double login meldung von dem filter abweicht?)
ich hab cccam_version_clients als Munin Plugin laufen und anhand dessen sehe ich dann wenn ein Client unerwünscht 2.2.x benutzt und dann guck ich ins syslog um an dem Tag den jeweiligen User herrauszufinden und schreib den dann an bevor ich ihn aussperre....
Zum beispiel CCcam 2.2.1:
Code: Alles auswählen
May 27 22:47:38 ipc CCcam: client Test3@c38563288b859667, running CCcam 2.0.11
May 27 22:47:49 ipc CCcam: login from 10.0.2.2
May 27 22:47:49 ipc CCcam: user Test3 login attempt from 10.0.2.2
May 27 22:47:49 ipc CCcam: double login (Test3), (previous 10.0.2.2), reject
May 27 22:47:49 ipc CCcam: kick 10.0.2.2(), bad command
May 27 22:47:49 ipc CCcam: login from 10.0.2.2
May 27 22:47:49 ipc CCcam: user Test3 login attempt from 10.0.2.2
May 27 22:47:49 ipc CCcam: double login (Test3), (previous 10.0.2.2), reject
May 27 22:47:49 ipc CCcam: kick 10.0.2.2(), bad command
Code: Alles auswählen
May 28 09:55:30 ipc CCcam: new tcp client from 10.0.2.2
May 28 09:55:31 ipc CCcam: user Test3 login attempt from 10.0.2.2
May 28 09:55:31 ipc CCcam: client Test3@79716000d25206e7, running CCcam 2.0.11
May 28 09:55:31 ipc CCcam: 0 cards --> client 10.0.2.2(Test3) (took 0.0008 seconds)
May 28 09:56:51 ipc CCcam: configfile changed. Updating...
May 28 09:57:08 ipc CCcam: deleting client 10.0.2.2(Test3), bad command
(jetzt bin ich aber gerade etwas verwirrt weil die double login meldung von dem filter abweicht?)
Du musst nicht kämpfen um zu siegen
Re: Frage zu fail2ban
jetzt hab ich mich nochmals mit fail2ban gespieltfeissmaik hat geschrieben:
cccam_sign sind Logmeldungen von CCcam bezüglich signature failed ... wann/warum die genau von CCcam erzeugt werden weiss ich leider auch nicht (mehr) genau - soweit ich weiss kommt eine "siganture failed" Meldung aber auch wenn sich jemand unbekanntes oder 2x einlogged
cccam_illegal sind, wie bereits bekannt, Verbindungsversuche ohne passende F-line
illegal ist das selbe wie sign - bzw macht das selbe ... oder wo is der unterschied?! weil am ende es eh immer ein signature failed ist - er filtert halt 1 zeile früher.
hab jetzt mal nur sign eingschalten gehabt und testweise auch sign und illegal plugin
F: Line nicht vorhanden - cccam-illegal
F: Line nicht vorhanden - cccam-signMay 30 04:50:39 csserver CCcam: login from xx.xx.xx.xx
May 30 04:50:39 csserver CCcam: illegal user messi from xx.xx.xx.xx
May 30 04:50:39 csserver CCcam: kick xx.xx.xx.xx, signature failed
2011-05-30 04:50:41,723 fail2ban.actions: WARNING [cccam_illegal] Ban xx.xx.xx.xx
falsches pwd - cccam-signMay 30 04:11:19 csserver CCcam: login from xx.xx.xx.xx
May 30 04:11:19 csserver CCcam: illegal user test from xx.xx.xx.xx
May 30 04:11:19 csserver CCcam: kick xx.xx.xx.xx, signature failed
2011-05-30 04:11:41,657 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: user xyz login attempt from xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: wrong password supplied by xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: kick xx.xx.xx.xx3, signature failed
2011-05-30 04:16:40,782 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.xx.xx
wenn sign und illegal gleichzeitig laufen, wird es auch DOPPELT gebannt :>
2011-05-30 05:13:26,169 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.44.85
2011-05-30 05:14:03,133 fail2ban.actions: WARNING [cccam_illegal] Ban xx.xx.44.85
und double login wird nicht gebannt, weil failregex falsch ist
May 30 04:42:18 csserver CCcam: login from 192.168.1.135
May 30 04:42:18 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:18 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:18 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:29 csserver CCcam: login from 192.168.1.135
May 30 04:42:29 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:29 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:29 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:40 csserver CCcam: login from 192.168.1.135
May 30 04:42:40 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:40 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:40 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:51 csserver CCcam: login from 192.168.1.135
May 30 04:42:51 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:51 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:51 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:02 csserver CCcam: login from 192.168.1.135
May 30 04:43:02 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:02 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:43:02 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:12 csserver CCcam: login from 192.168.1.135
May 30 04:43:12 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:12 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:43:12 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:23 csserver CCcam: login from 192.168.1.135
May 30 04:43:23 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:23 csserver CCcam: double login (patrick), (previousxx.xx.xx.xx), reject
May 30 04:43:23 csserver CCcam: kick 192.168.1.135(), bad command
[cccam_2login]
enabled = true
port = 12001
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 3
Richtig wäre, failregex = CCcam: double login .*, \(previous <HOST>\), reject[Definition]
failregex = CCcam: double login .*, .* \(<HOST>\)
ignoreregex =
Aktive CCcam Version : 2.1.32011-05-30 05:41:25,629 fail2ban.actions: WARNING [cccam_2login] Ban xx.xx.xx.xx
if ($ahnung == false or $problem == true) { read FAQ; use SEARCH; use GOOGLE; } else { use brain; make post; }
-
- IPC Neuling
- Beiträge: 16
- Registriert: So 15. Mai 2011, 11:59
- Kontaktdaten:
Re: Frage zu fail2ban
Ich hatte auch die ganze Zeit über illegal aktiv und hab mich damit immer selbst ausgesperrt, wenn ich SCAM als Emu verwendet hatte. Jetzt, wo ich auf sign umgestellt habe, scheint es problemlos zu funktionieren!?illegal ist das selbe wie sign - bzw macht das selbe ... oder wo is der unterschied?! weil am ende es eh immer ein signature failed ist - er filtert halt 1 zeile früher.
Der Unterschied zwischen den beiden würde mich auch interessieren..
-
- Entwickler Team
- Beiträge: 2576
- Registriert: So 17. Apr 2011, 11:39
- Been thanked: 1 time
- Kontaktdaten:
Re: Frage zu fail2ban
das kann ich mir kaum vorstellen - interessant wäre die entsprechende fail2ban.log mit der jeweiligen fail2ban/filter/*.conf zu sehen... vllt hattest du auch nur eine unpassende filter config zu deiner aktuellen CCcam Version - wenn du zb von 2.0.11 oder 2.1.1 auf eine neuere gewechselt hast, musst du das fail2ban Script auch nochmal neu ausführen damit die Filter entsprechend angepasst/aktualisiert werden...
...eigentlich wirft CCcam "illegal user" Meldungen nur aus wenn sich eben ein 'unbekannter' Benutzer anzumelden versucht... also zb benutzer XYZ versucht sich bei dir zu connecten aber es gibt garkeine passende F-line für den user XYZ.. Oder wenn das übertragene Password nicht korrekt ist (wrong password)
"signature failed" hingegen kommt ziemlich oft - eben auch wenns zb ne "illegal user" Meldung gibt - eben weil die signature des 'unbekannten' Benutzers fehlerhaft ist - ich weiss nicht genau wann die signature immer überprüft wird aber zb bei allg. Verbindungen wäre es plausiebel (sowas wie ein MD5 hash check zb bei Files, ob das geladene auch noch dem erwarteten Original entspricht)
IPC hat übrigends standardmässig auch "illegal user" , "bad command" und "wrong password" Logs an
- siehe das Ende der Datei /etc/rsyslog.conf
- und dazu die Befehle cccam iu und cccam bc
(was aber btw keine tolle Lösung ist weshalb ich das an eurer stelle abschalten würde wenn ihrs eh nich nutzt...)
...eigentlich wirft CCcam "illegal user" Meldungen nur aus wenn sich eben ein 'unbekannter' Benutzer anzumelden versucht... also zb benutzer XYZ versucht sich bei dir zu connecten aber es gibt garkeine passende F-line für den user XYZ.. Oder wenn das übertragene Password nicht korrekt ist (wrong password)
"signature failed" hingegen kommt ziemlich oft - eben auch wenns zb ne "illegal user" Meldung gibt - eben weil die signature des 'unbekannten' Benutzers fehlerhaft ist - ich weiss nicht genau wann die signature immer überprüft wird aber zb bei allg. Verbindungen wäre es plausiebel (sowas wie ein MD5 hash check zb bei Files, ob das geladene auch noch dem erwarteten Original entspricht)
IPC hat übrigends standardmässig auch "illegal user" , "bad command" und "wrong password" Logs an
- siehe das Ende der Datei /etc/rsyslog.conf
- und dazu die Befehle cccam iu und cccam bc
(was aber btw keine tolle Lösung ist weshalb ich das an eurer stelle abschalten würde wenn ihrs eh nich nutzt...)
Du musst nicht kämpfen um zu siegen
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste