IPC

hallo IPC Team,

Habe Failbain mit CCcam 2.1.1 Installiert.

1- Funktioniert überhaupt Failbain mit 2.1.1
2- Wenn ich debian neustarte muss ich Failbain per code starten od.läüft sie automatisch
(/etc/init.d/fail2ban start )

danke jetzt schon

zu 1) Ja...
zu 2) Nein, startet automatisch - siehe /var/log/fail2ban.log

...und es heisst nicht Failbain sondern fail2ban

ja danke

Ich benutze Fail2ban erst seit gestren

d.h bei IPC ist egal welcher CCcam version installiert ist.Fail2ban läüft bei allen .
Echt... lob an IPC Teams

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Was bedeuten die :
[ssh] Unban
[cccam_sign] Unban

Habe ich das richtig verstenden unten
[ssh] XX.XXX.XX.34 ist gebannt wollte übers Putty ran an meiner server

2012-01-24 02:32:58,832 fail2ban.actions: WARNING [ssh] XX.XXX.XX.34 already banned
2012-01-24 02:40:10,374 fail2ban.actions: WARNING [ssh] Ban XXX.XXX.XXX.117
2012-01-24 02:42:56,637 fail2ban.actions: WARNING [ssh] Unban XX.XXX.XX.34
2012-01-24 02:49:48,112 fail2ban.actions: WARNING [cccam_sign] Unban XX.XXX.XX.81
2012-01-24 02:50:11,189 fail2ban.actions: WARNING [ssh] Unban XXX.XXX.XXX.117


2012-01-24 12:48:04,983 fail2ban.actions: WARNING [cccam_sign] Ban XX.XXX.XX.81
2012-01-24 13:18:05,585 fail2ban.actions: WARNING [cccam_sign] Unban XX.XXX.XX.81


mfg

BAN/UNBAN
GEBANNT/NICHT MEHR GEBANNT
RICHTIG/FALSCH
GUT/SCHLECHT



die bantime ist abgelaufen => siehe jail.conf

kika11 hat geschrieben: d.h bei IPC ist egal welcher CCcam version installiert ist.Fail2ban läüft bei allen .

Jein
Leider hat sich die Ausgabe von CCcam bei neueren Versionen verändert wodurch fail2ban rules für CCcam 2.0.11 oder 2.1.1 nicht mehr mit 2.1.2 oder neuer funktionieren...

Zum Beispiel wirft CCcam 2.0.11 bei einem "Bad Command" folgendes aus: CCcam 2.1.1 wirft bei einem "Bad Command" aber folgendes aus: Und alle neueren Version (>=2.1.2) werfen aber folgendes aus:
Wenn du also die CCcam Version wechselst dann führ bitte auch nochmal den Befehl c fail2ban aus um wirklich sicher zu gehen

TommyH99 hat geschrieben: die bantime ist abgelaufen => siehe jail.conf

Warum ist bantime abgelaufen?
das steht drinn unter jail.conf überall bantime 1800

[cccam_sign]
enabled = true
port = 12000
filter = cccam-signature
logpath = /var/log/syslog
bantime = 1800
maxretry = 10
[cccam_badcmd]
enabled = true
port = 12000
filter = cccam-command
logpath = /var/log/syslog
bantime = 1800
maxretry = 10
[cccam_2login]
enabled = true
port = 12000
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 10
[cccam_illegal]
enabled = true
port = 12000
filter = cccam-illegal
logpath = /var/log/syslog
bantime = 1800
maxretry = 10

feissmaik hat geschrieben:

kika11 hat geschrieben: d.h bei IPC ist egal welcher CCcam version installiert ist.Fail2ban läüft bei allen .

Wenn du also die CCcam Version wechselst dann führ bitte auch nochmal den Befehl c fail2ban aus um wirklich sicher zu gehen

Ja faissmaik,

Ich bleibe jetzt ne weile bei 2.1.1
Wer benutzt überhaupt CCcam 2.0.11?

[Definition]
failregex = CCcam: deleting client <HOST>.*, bad command
ignoreregex =

Erst fail2ban auschalten
code:
c fail2ban

dann CCcam vers.andern

dannach nochmals
code:
c fail2ban

das sind Sekunden, nachdem die 1800 Sekunden abgelaufen sind, wird die IP wieder ungebannt, sobald wieder was nicht passt - ban usw

hi nochmals,

sobald ich selber was tv schauen möchte zeigts meinen eigenen ip dann kann ich nichts schauen
und alle anderen können auch nichts mehr sehen

Heute früh hatte ne server neu gestartet und fail2ban per code gestartet
Code:
/etc/init.d/fail2ban restart

hier:

2012-01-30 07:11:48,080 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 12000 -j fail2ban-cccam_badcmd
iptables -F fail2ban-cccam_badcmd
iptables -X fail2ban-cccam_badcmd returned 100
2012-01-30 07:11:48,081 fail2ban.jail : INFO Jail 'cccam_badcmd' stopped
2012-01-30 07:11:49,101 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 12000 -j fail2ban-cccam_2login
iptables -F fail2ban-cccam_2login
iptables -X fail2ban-cccam_2login returned 100
2012-01-30 07:11:49,103 fail2ban.jail : INFO Jail 'cccam_2login' stopped
2012-01-30 07:11:49,137 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 12000 -j fail2ban-cccam_sign
iptables -F fail2ban-cccam_sign
iptables -X fail2ban-cccam_sign returned 100
2012-01-30 07:11:49,652 fail2ban.jail : INFO Jail 'cccam_sign' stopped
2012-01-30 07:11:50,139 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 12000 -j fail2ban-cccam_illegal
iptables -F fail2ban-cccam_illegal
iptables -X fail2ban-cccam_illegal returned 100
2012-01-30 07:11:50,141 fail2ban.jail : INFO Jail 'cccam_illegal' stopped
2012-01-30 07:11:51,136 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2012-01-30 07:11:51,137 fail2ban.jail : INFO Jail 'ssh' stopped
2012-01-30 07:11:51,144 fail2ban.server : INFO Exiting Fail2ban
2012-01-30 07:11:52,469 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2012-01-30 07:11:52,472 fail2ban.jail : INFO Creating new jail 'cccam_badcmd'
2012-01-30 07:11:52,473 fail2ban.jail : INFO Jail 'cccam_badcmd' uses poller
2012-01-30 07:11:52,535 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-01-30 07:11:52,539 fail2ban.filter : INFO Set maxRetry = 10
2012-01-30 07:11:52,545 fail2ban.filter : INFO Set findtime = 600
2012-01-30 07:11:52,549 fail2ban.actions: INFO Set banTime = 1800
2012-01-30 07:11:52,581 fail2ban.jail : INFO Creating new jail 'cccam_2login'
2012-01-30 07:11:52,582 fail2ban.jail : INFO Jail 'cccam_2login' uses poller
2012-01-30 07:11:52,587 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-01-30 07:11:52,591 fail2ban.filter : INFO Set maxRetry = 10
2012-01-30 07:11:52,597 fail2ban.filter : INFO Set findtime = 600
2012-01-30 07:11:52,601 fail2ban.actions: INFO Set banTime = 1800
2012-01-30 07:11:52,632 fail2ban.jail : INFO Creating new jail 'ssh'
2012-01-30 07:11:52,633 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-01-30 07:11:52,638 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-01-30 07:11:52,642 fail2ban.filter : INFO Set maxRetry = 6
2012-01-30 07:11:52,648 fail2ban.filter : INFO Set findtime = 600
2012-01-30 07:11:52,652 fail2ban.actions: INFO Set banTime = 600
2012-01-30 07:11:52,897 fail2ban.jail : INFO Creating new jail 'cccam_sign'
2012-01-30 07:11:52,898 fail2ban.jail : INFO Jail 'cccam_sign' uses poller
2012-01-30 07:11:52,903 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-01-30 07:11:52,907 fail2ban.filter : INFO Set maxRetry = 10
2012-01-30 07:11:52,913 fail2ban.filter : INFO Set findtime = 600
2012-01-30 07:11:52,916 fail2ban.actions: INFO Set banTime = 1800
2012-01-30 07:11:52,947 fail2ban.jail : INFO Creating new jail 'cccam_illegal'
2012-01-30 07:11:52,948 fail2ban.jail : INFO Jail 'cccam_illegal' uses poller
2012-01-30 07:11:52,953 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-01-30 07:11:52,957 fail2ban.filter : INFO Set maxRetry = 10
2012-01-30 07:11:52,963 fail2ban.filter : INFO Set findtime = 600
2012-01-30 07:11:52,966 fail2ban.actions: INFO Set banTime = 1800
2012-01-30 07:11:53,000 fail2ban.jail : INFO Jail 'cccam_badcmd' started
2012-01-30 07:11:53,015 fail2ban.jail : INFO Jail 'cccam_2login' started
2012-01-30 07:11:53,043 fail2ban.jail : INFO Jail 'ssh' started
2012-01-30 07:11:53,063 fail2ban.jail : INFO Jail 'cccam_sign' started
2012-01-30 07:11:53,097 fail2ban.jail : INFO Jail 'cccam_illegal' started
2012-01-30 21:14:53,202 fail2ban.actions: WARNING [cccam_2login] Ban xxx.xxx.70.xxx
2012-01-30 21:44:53,549 fail2ban.actions: WARNING [cccam_2login] Unban xxx.xxx.70.xxx

interessant wäre das Log von dem Event und nicht nachdem restart ... sehen wir ja nix mehr, warum wieso(!)

Das Log gibt keine Auskunft darüber wieso deine IP gesperrt worden wäre ...

Du musst bedenken das fail2ban nicht grundlos einfachso irgendwen sperrt - die Filter geben vor was in welchem Log wie oft stehen muss bevor er die gewünschte action durchführt - dh wenn du zb double_login eingerichtet hast und du dich (warum auch immer) mehrmals gleichzeitig versuchst zu verbinden wird dich fail2ban beim 10. mal aussperren...

fail2ban ist standardmässig so konfiguriert das es " iptables " als action nutzt bzw ausführt

" iptables -X fail2ban-cccam_badcmd returned 100 "

dh der befehl " iptables -X fail2ban-cccam_badcmd " wirft einen fehlercode 100 zurück
genauso wie der Befehl " iptables -D INPUT -p tcp -m multiport --dports 12000 -j fail2ban-cccam_badcmd " auch nicht zu funktionieren scheint

also evtl. mal die iptables befehle die fail2ban versucht auszuführen, manuell eingeben damit du eine genauere Fehlermeldung angezeigt kriegst

fail2ban reagiert also nur auf etwas was es woanders ausliest - wenn du wegen 2login gebanned wurdest hat das also Gründe die bei CCcam zu suchen sind, nicht bei fail2ban weil das scheint ja soweit dann doch irgendwie zu funktionieren...

Allerdings würde mich jetzt ein wenig stutzig machen wieso du eingangs schreibst das DU ausgesperrt wurdest aber dann deine IP unkenntlich machst - handelt es sich dabei etwa nicht um einen LAN-Server? Wenn das ein Internet-Server ist und du deshalb deine Internet-IP unkenntlich gemacht hast; so muss ich dich an dieser Stelle fragen ob das wirklich dein Ernst ist? Internet-Server + Standardports + IPC? Darf ich dir ne Kopfnuss dafür geben?