feissmaik hat geschrieben:
cccam_sign sind Logmeldungen von CCcam bezüglich signature failed ... wann/warum die genau von CCcam erzeugt werden weiss ich leider auch nicht (mehr) genau - soweit ich weiss kommt eine "siganture failed" Meldung aber auch wenn sich jemand unbekanntes oder 2x einlogged
cccam_illegal sind, wie bereits bekannt, Verbindungsversuche ohne passende F-line
jetzt hab ich mich nochmals mit fail2ban gespielt
illegal ist das selbe wie
sign - bzw macht das selbe ... oder wo is der unterschied?! weil am ende es eh immer ein
signature failed ist - er filtert halt 1 zeile früher.
hab jetzt mal nur
sign eingschalten gehabt und testweise auch
sign und
illegal plugin
F: Line nicht vorhanden - cccam-illegal
May 30 04:50:39 csserver CCcam: login from xx.xx.xx.xx
May 30 04:50:39 csserver CCcam: illegal user messi from xx.xx.xx.xx
May 30 04:50:39 csserver CCcam: kick xx.xx.xx.xx, signature failed
2011-05-30 04:50:41,723 fail2ban.actions: WARNING [cccam_illegal] Ban xx.xx.xx.xx
F: Line nicht vorhanden - cccam-sign
May 30 04:11:19 csserver CCcam: login from xx.xx.xx.xx
May 30 04:11:19 csserver CCcam: illegal user test from xx.xx.xx.xx
May 30 04:11:19 csserver CCcam: kick xx.xx.xx.xx, signature failed
2011-05-30 04:11:41,657 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.xx.xx
falsches pwd - cccam-sign
May 30 04:16:39 csserver CCcam: user xyz login attempt from xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: wrong password supplied by xx.xx.xx.xx
May 30 04:16:39 csserver CCcam: kick xx.xx.xx.xx3, signature failed
2011-05-30 04:16:40,782 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.xx.xx
wenn sign und illegal gleichzeitig laufen, wird es auch DOPPELT gebannt :>
2011-05-30 05:13:26,169 fail2ban.actions: WARNING [cccam_sign] Ban xx.xx.44.85
2011-05-30 05:14:03,133 fail2ban.actions: WARNING [cccam_illegal] Ban xx.xx.44.85
und double login wird nicht gebannt, weil failregex falsch ist
May 30 04:42:18 csserver CCcam: login from 192.168.1.135
May 30 04:42:18 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:18 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:18 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:29 csserver CCcam: login from 192.168.1.135
May 30 04:42:29 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:29 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:29 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:40 csserver CCcam: login from 192.168.1.135
May 30 04:42:40 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:40 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:40 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:42:51 csserver CCcam: login from 192.168.1.135
May 30 04:42:51 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:42:51 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:42:51 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:02 csserver CCcam: login from 192.168.1.135
May 30 04:43:02 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:02 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:43:02 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:12 csserver CCcam: login from 192.168.1.135
May 30 04:43:12 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:12 csserver CCcam: double login (patrick), (previous xx.xx.xx.xx), reject
May 30 04:43:12 csserver CCcam: kick 192.168.1.135(), bad command
May 30 04:43:23 csserver CCcam: login from 192.168.1.135
May 30 04:43:23 csserver CCcam: user patrick login attempt from 192.168.1.135
May 30 04:43:23 csserver CCcam: double login (patrick), (previousxx.xx.xx.xx), reject
May 30 04:43:23 csserver CCcam: kick 192.168.1.135(), bad command
[cccam_2login]
enabled = true
port = 12001
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 3
[Definition]
failregex = CCcam: double login .*, .* \(<HOST>\)
ignoreregex =
Richtig wäre, failregex =
CCcam: double login .*, \(previous <HOST>\), reject
2011-05-30 05:41:25,629 fail2ban.actions: WARNING [cccam_2login] Ban xx.xx.xx.xx
Aktive CCcam Version : 2.1.3