1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

HowTo fail2ban für CCcam installieren

Dieses Thema im Forum "CS Root & Vserver" wurde erstellt von BaNaNaBeck, 26. Mai 2010.

  1. BaNaNaBeck
    Offline

    BaNaNaBeck VIP

    Registriert:
    7. Februar 2008
    Beiträge:
    2.967
    Zustimmungen:
    3.028
    Punkte für Erfolge:
    113
    Beruf:
    Zerstörer
    Ort:
    Überall und Nirgendwo
    fail2ban schützt vor Double Logins, Bad command" oder Signature failed und sperrt die IP von der es ausgeht über die Dauer eine frei definierbare Zeit. fail2ban überwacht das Logfile syslog und wird dannach aktiv.

    Es ist erst mit diesen Einstellungen möglich ab Verision CCcam 2.1.2 oder höher. Hier im Thread gibt es auch Möglichkeiten für ältere Versionen.

    Die Installation ist ganz einfach und schnell durchzuführen:


    Installation der Software fail2ban:
    Code:
    apt-get install fail2ban -y
    Nun bearbeitet Ihr die Datei << /etc/fail2ban/jail.conf >> und fügt folgendes hinzu.

    Code:
    [cccam_sigfail]
    
    enabled = true
    port = 12000
    filter = cccam-signature
    logpath = /var/log/syslog
    bantime = 1800
    maxretry = 10
    
    
    [cccam_badcmd]
    
    enabled = true
    port = 12000
    filter = cccam-command
    logpath = /var/log/syslog
    bantime  = 1800
    maxretry = 10
    
    
    [cccam_2login]
    
    enabled = true
    port = 12000
    filter = cccam-login
    logpath = /var/log/syslog
    bantime = 1800
    maxretry = 10
    
    
    [cccam_illegal] 
    enabled = true 
    port = 12000 
    filter = cccam-illegal 
    logpath = /var/log/syslog
    bantime = 1800 
    maxretry = 10
    
    maxretry = Fehlversuche die erlaubt sind, bevor die IP gebannt wird
    bantime = Bandauer - Angabe erfolgt in Sekunden
    Gegebenenfalls müsst Ihr noch den Port an euren CCcam Port anpassen.


    Nun legt Ihr noch die Filter an damit fail2ban auch weiß, was es tun soll:
    Dies geschieht unter: << /etc/fail2ban/filter.d/ >> Nehmt dafür einen Linuxfähigen Editor oder am besten gleich mit WINSCP.

    Datei 1: cccam-signature.conf
    Code:
    [Definition]
    failregex = CCcam: kick <HOST>, signature failed
    ignoreregex =
    
    Datei2: cccam-login.conf
    Code:
    [Definition]
    failregex = CCcam: double login .*, .* \(<HOST>\)
    ignoreregex =
    
    Datei 3: cccam-command.conf
    Code:
    [Definition]
    failregex = CCcam: kick <HOST>.*, bad command
    ignoreregex =
    
    Datei 4: cccam-illegal.conf
    Code:
    [Definition] 
    failregex = CCcam: illegal user .* from <HOST> 
    ignoreregex =
    
    Am Ende muss fail2ban noch durchgestartet werden.
    Code:
    /etc/init.d/fail2ban restart
    Unter << /var/log/fail2ban.log >> seht Ihr die Aktivitäten des Tools.
     
    Zuletzt von einem Moderator bearbeitet: 30. September 2011
    #1
    BigFredy007, sonyboys, Borko23 und 13 anderen gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. sbanane
    Offline

    sbanane Moderator Digital Eliteboard Team

    Registriert:
    20. Februar 2009
    Beiträge:
    1.254
    Zustimmungen:
    1.405
    Punkte für Erfolge:
    113
    Ort:
    192.168.178.1
    AW: Howto: fail2ban für CCcam installieren

    ich bin so frei und mach ein kleines how2 für eine firewall, die man zu fail2ban nebenher laufen lassen kann. hier kann man ein- und ausgehende ports zu bzw. öffnen und gewisse adressen ausperren.

    als erstes erstellen wir unsere blackliste. ich verwende hierzu putty

    Code:
    touch /usr/local/etc/blacklist.txt
    unter /etc/init.d/ legen wir unsere firewall an

    Code:
    touch /etc/init.d/firewall
    wir vergeben die rechte

    Code:
    chmod +x /etc/init.d/firewall
    als nächstes passen wir das firewallscript an

    Code:
    nano /etc/init.d/firewall
    und kopieren folgendes hinein

    Code:
    #!/bin/sh
    
    #needed modules
    modprobe ip_conntrack_ftp
    
    BLACKLIST=/usr/local/etc/blacklist.txt
    
    #trigger for your ports
    IN_ALLOWED_TCP="21 22 25 53 80"
    OUT_ALLOWED_TCP="21 22 25 53 80" 
    IN_ALLOWED_UDP="53 7878"
    OUT_ALLOWED_UDP="53"
    IN_ALLOWED_ICMP=" "
    OUT_ALLOWED_IMCP=" "
    
    case "$1" in
       start)
    
          # Stopping IP trap
          /etc/init.d/fail2ban stop
          echo "Stopping fail2ban IP trap ..."
    
          # Clear iptables
          iptables -F
    
          #Defaults
          iptables -P INPUT DROP
          iptables -P OUTPUT DROP
          iptables -P FORWARD DROP
    
          # loopback communication
          iptables -A INPUT -i lo -j ACCEPT
          iptables -A OUTPUT -o lo -j ACCEPT
    
          # persist on connections
          iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
          iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
          # Ban blacklisted IPs
          for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
            echo "Blocking $x..."
            iptables -A INPUT -t filter -s $x -j DROP
          done
    
          # TCP rules in
          for port in $IN_ALLOWED_TCP; do
            echo "Accepting TCP port $port"
            iptables -A INPUT -t filter -p tcp --dport $port -j ACCEPT
          done
    
          # TCP rules out
          for port in $OUT_ALLOWED_TCP; do
            echo "Allowing sending over TCP port $port"
            iptables -A OUTPUT -t filter -p tcp --dport $port -j ACCEPT
          done
    
          # UDP rules in
          for port in $IN_ALLOWED_UDP; do
            echo "Accepting UDP  port $port"
            iptables -A INPUT -t filter -p udp --dport $port -j ACCEPT
          done
    
          # UDP  rules out
          for port in $OUT_ALLOWED_UDP; do
            echo "Allowing sending over UDP port $port"
            iptables -A OUTPUT -t filter -p udp --dport $port -j ACCEPT
          done
    
          # ICMP rules in
          for port in $IN_ALLOWED_ICMP; do
            echo "Accepting ICMP  port $port"
            iptables -A INPUT -t filter -p icmp --dport $port -j ACCEPT
          done
    
          # ICMP rules out
          for port in $OUT_ALLOWED_ICMP; do
            echo "Allowing sending over ICMP port $port"
            iptables -A OUTPUT -t filter -p icmp --dport $port -j ACCEPT
          done
    
          # Dropping startup requests
          iptables -A INPUT -t filter -p tcp --syn -j DROP
    
          # Restarting IP trap
          /etc/init.d/fail2ban start
          echo "Fire up IP trap again ..."
          ;;
       stop)
          /etc/init.d/fail2ban stop
          iptables -F
          iptables -P INPUT ACCEPT
          iptables -P OUTPUT ACCEPT
          echo "Warning! Firewall is stopped, server is unprotected now!"
          ;;
       restart)
          $0 stop
          sleep 1
          $0 start
          ;;
          *)
          echo "Usage $0 {start|stop|restart}"
          ;;
    esac
    hier passen wir die ports an die wir benötigen und ändern sie dementsprechend ab

    Code:
    #trigger for your ports
    IN_ALLOWED_TCP="12000" -------------> hier den eigenen server listen port angeben bzw. ports die für uns von aussen erreichbar sein sollen
    OUT_ALLOWED_TCP="xx xxxxx xxxxx" ----> hier die ports unser sharepartner eigeben, sonst kommt nix an ;=D
    IN_ALLOWED_UDP="53 7878"
    OUT_ALLOWED_UDP="53"
    IN_ALLOWED_ICMP=" "
    OUT_ALLOWED_IMCP=" "
    
    so das wars schon fast. jetzt aktivieren wir noch die firewall dass sie beim reboot mit hochfährt

    Code:
    cd /etc/init.d
    update-rc.d firewall defaults
    nach jeder anpassung der firewall genügt ein restart

    Code:
    /etc/init.d/firewall restart
    das alles wurde von mir auf debian getestet und läuft. man kann in der blacklist ip nummern eintragen, doch bin ich noch nicht so weit gekommen.

    special thx to gagi für das firewallscript
     
    #2
    dessperado20, phantom, datamen und 3 anderen gefällt das.
  4. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: Howto: fail2ban für CCcam installieren

    Hätte jemand einen passenden Filter für die "CCcam-illegal_users.log" ich würde gern die Leute zu mindest temp. aussperren, die meine line nicht löschen.
    Des Weiteren hätte ich noch eine Frage zu der deamon.log, die existirt bei mir unter var/log nicht. hab ich irgendwas übersehen/vergessen?

    Installiert habe ich damals alles über ipc 9.54
     
    #3
  5. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Howto: fail2ban für CCcam installieren

    die idee hatte ich auch schon mal gepostet :dance3:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

     
    #4
    BaNaNaBeck gefällt das.
  6. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: Howto: fail2ban für CCcam installieren

    EM aber da werden doch auch nicht die illegal Users geblockt oder spinne ich?
     
    #5
  7. schnackell
    Offline

    schnackell Freak

    Registriert:
    5. März 2010
    Beiträge:
    278
    Zustimmungen:
    10
    Punkte für Erfolge:
    0
    AW: Howto: fail2ban für CCcam installieren


    Würde ich auch gerne wissen!
    Wenn da jemand helfen könnte?
     
    #6
  8. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Howto: fail2ban für CCcam installieren

    stimmt aber jede config ist ja auch erweiterbar
    und man kann es ja auch nicht jedem recht machen der eine will das und der andere will das
    ps: nicht falsch verstehen ist nur meine meinung
     
    #7
  9. Satanos666
    Offline

    Satanos666 Stamm User

    Registriert:
    13. Mai 2009
    Beiträge:
    1.081
    Zustimmungen:
    203
    Punkte für Erfolge:
    63
    AW: Howto: fail2ban für CCcam installieren

    Ok, ich selber wüsste aber nicht wie ich den filter schreibe, deswegen frage ich ob jemand bereits einen hätte für mich.
    Was kann ich gegen das Problem mit der debug.log machen?
     
    #8
  10. smuso
    Offline

    smuso Ist oft hier

    Registriert:
    6. Mai 2009
    Beiträge:
    183
    Zustimmungen:
    4
    Punkte für Erfolge:
    18
    AW: Howto: fail2ban für CCcam installieren

    hy

    also das Firewall script läuft bei mir nicht. Keine Ahnung warum

    bei mir kommt das

    root@smuso0 /etc/init.d > iptables -L -v
    WARNING: Could not open 'kernel/net/netfilter/x_tables.ko': No such file or directory
    FATAL: Could not open 'kernel/net/ipv4/netfilter/ip_tables.ko': No such file or directory
    iptables v1.4.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
    Perhaps iptables or your kernel needs to be upgraded.


    mfg
     
    Zuletzt bearbeitet: 31. Mai 2010
    #9
  11. Pretender666
    Offline

    Pretender666 Elite Lord

    Registriert:
    28. Juli 2008
    Beiträge:
    3.209
    Zustimmungen:
    708
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Howto: fail2ban für CCcam installieren

    Ich bin jetzt so weit dass ich fail2ban am laufen habe, benötigt man nun noch die Firewall (2.Posting) oder blockt fail2ban schon von Haus aus???

    Ich finde es etwas unsinnig Ports direkt zu blockieren, das ist ja ein riesen Aufwand alle Client Ports da einzutragen, da ja jeder was anderes hat.

    Mein Server soll alle Ports benutzen können. Der Router sorgt doch dafür dass nur 12000 von aussen an den Server weitergeleitet wird. Also wieso noch Ports explizit am Server blockieren??

    Wie würde die Config dann aussehen, läßt man das dann leer oder Stern * ?
     
    #10
  12. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Howto: fail2ban für CCcam installieren

    Code:
    Ich bin jetzt so weit dass ich fail2ban am laufen habe, benötigt man nun noch die Firewall (2.Posting) oder blockt fail2ban schon von Haus aus???
    die firewall brauchst du nicht extra fail2ban läuft auch eigenständig

    Code:
    Ich finde es etwas unsinnig Ports direkt zu blockieren, das ist ja ein riesen Aufwand alle Client Ports da einzutragen, da ja jeder was anderes hat.
    wenn du eh alles über den port 12000 laufen läst dann brauchst du auch nur den dort in die firewall eintragen und einmal 12000 einstellen ist doch nun keine riesen arbeit oder doch ???

    Code:
    Mein Server soll alle Ports benutzen können. Der Router sorgt doch dafür dass nur 12000 von aussen an den Server weitergeleitet wird. Also wieso noch Ports explizit am Server blockieren??
    warum gibt es bei windows eine firewall und wie kommen trojaner oder viren auf deinen pc??
    warum jeden möglichen port nach außen offen lassen und so mehr platz für Angriffe lassen wenn man eh nur mit bestimmten ports arbeitet und so das system ein kleines bisschen sicherer machen kann

    Code:
    Wie würde die Config dann aussehen, läßt man das dann leer oder Stern * ?
    du musst da schon ports eintragen sonst wir das nichts werden
     
    #11
  13. blueskyofheaven
    Offline

    blueskyofheaven Hacker

    Registriert:
    17. Februar 2009
    Beiträge:
    421
    Zustimmungen:
    20
    Punkte für Erfolge:
    18
    AW: Howto: fail2ban für CCcam installieren

    warum kommt es zu so vielen "bad command" bei meinen clienten?
     
    #12
  14. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Howto: fail2ban für CCcam installieren

    frag mal am besten deine clienten
    evtl schlechte hardware (reciver,router,netzwerk)
    hatte es bei mir auch bei 2 clienten habe da mal die router getauscht gegen eine fritzbox und siehe da kaum noch fehler meldungen
     
    #13
  15. mrnice00
    Offline

    mrnice00 Ist oft hier

    Registriert:
    5. März 2010
    Beiträge:
    101
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    AW: Howto: fail2ban für CCcam installieren

    Hallo habe auch fail2ban am laufen nur ein kleines Problem was wie folgt aussieht

    beim starten von Fail2ban sieht alles gut aus

    Code:
     
    2010-07-27 14:37:01,155 fail2ban.jail : INFO Creating new jail 'cccam'
    2010-07-27 14:37:01,155 fail2ban.jail : INFO Jail 'cccam' uses poller
    2010-07-27 14:37:01,183 fail2ban.filter : INFO Added logfile = /var/log/syslog
    2010-07-27 14:37:01,185 fail2ban.filter : INFO Set maxRetry = 10
    2010-07-27 14:37:01,188 fail2ban.filter : INFO Set findtime = 600
    2010-07-27 14:37:01,190 fail2ban.actions: INFO Set banTime = 6000
    2010-07-27 14:37:01,214 fail2ban.jail : INFO Creating new jail 'ssh-ddos'
    2010-07-27 14:37:01,214 fail2ban.jail : INFO Jail 'ssh-ddos' uses poller
    2010-07-27 14:37:01,216 fail2ban.filter : INFO Added logfile = /var/log/auth.log
    2010-07-27 14:37:01,218 fail2ban.filter : INFO Set maxRetry = 6
    2010-07-27 14:37:01,221 fail2ban.filter : INFO Set findtime = 600
    2010-07-27 14:37:01,223 fail2ban.actions: INFO Set banTime = 6000
    2010-07-27 14:37:01,241 fail2ban.jail : INFO Creating new jail 'ssh'
    2010-07-27 14:37:01,241 fail2ban.jail : INFO Jail 'ssh' uses poller
    2010-07-27 14:37:01,244 fail2ban.filter : INFO Added logfile = /var/log/auth.log
    2010-07-27 14:37:01,246 fail2ban.filter : INFO Set maxRetry = 6
    2010-07-27 14:37:01,249 fail2ban.filter : INFO Set findtime = 600
    2010-07-27 14:37:01,251 fail2ban.actions: INFO Set banTime = 6000
    2010-07-27 14:37:01,508 fail2ban.jail : INFO Jail 'cccam' started
    2010-07-27 14:37:01,511 fail2ban.jail : INFO Jail 'ssh-ddos' started
    2010-07-27 14:37:01,541 fail2ban.jail : INFO Jail 'ssh' started
    
    mein "cccam Script" sieht wie folgt aus
    Code:
    # Fail2Ban configuration file
    #
    # Author: Cyril Jaquier
    #
    # $Revision: 510 $
    #
    [Definition]
    # Option: failregex
    # Notes.: regex to match the password failures messages in the logfile. The
    # host must be matched by a group named "host". The tag "<HOST>" can
    # be used for standard IP/hostname matching and is only an alias for
    # (?:::f{4,6}:)?(?P<host>\S+)
    # Values: TEXT
    #
    failregex = xxx CCcam: kick <HOST>, signature failed$
    xxx CCcam: kick <HOST>.*, bad command$
    xxx CCcam: double login .*, .* \(<HOST>\)$
     
    # Option: ignoreregex
    # Notes.: regex to ignore. If this regex matches, the line is ignored.
    # Values: TEXT
    #
    ignoreregex =
    
    eigentlich sollte er ja überprüfen ob es doppelte/falsche Anmeldungen und diese dann bannen

    daemon.log
    Code:
    Jul 27 15:06:03 SRV-CS CCcam: illegal user xxr from 80.xx.43.xxJul 27 15:06:03 SRV-CS CCcam: deleting client xx.90.43.xx, signature failed
    Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xx:3439 0x1810(0x4001)
    Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xx:3439 failure from cache (took 0.0000 seconds)
    Jul 27 15:06:03 SRV-CS CCcam: client xx ecm request for handler 0x1bdc0 0x1810(0x4001) sid 0x756a failed (took 0.0003 seconds)
    Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xx:12000 0x1810(0x4001)
    Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xxxx.org:12000 failure from cache (took 0.0000 seconds)
    Jul 27 15:06:03 SRV-CS CCcam: client xxx ecm request for handler 0x1bfad 0x1810(0x4001) sid 0x756a failed (took 0.0004 seconds)
    Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xxx:12000 0x1810(0x000)
    Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xx:12000 failure from cache (took 0.0000 seconds)
    Jul 27 15:06:03 SRV-CS CCcam: client xxx ecm request for handler 0x1cf8a 0x1810(0x0) sid 0x756a failed (took 0.0003 seconds)
    Jul 27 15:06:03 SRV-CS CCcam: new tcp client from 83.xx.70.xx
    Jul 27 15:06:04 SRV-CS CCcam: illegal user xx from 83.xx.70.xx
    Jul 27 15:06:04 SRV-CS CCcam: deleting client 83.135.70.84, signature failed
    
    Nur wie ihr seht passiert nichts kann man die losg "gesprächiger" machen oder sieht jemand den fehler auf anhieb?

    Ich Danke im vorraus
     
    #14
  16. benbensimpson
    Offline

    benbensimpson Freak

    Registriert:
    10. Juli 2008
    Beiträge:
    234
    Zustimmungen:
    64
    Punkte für Erfolge:
    28
    Geschlecht:
    männlich
    Beruf:
    Elektriker
    AW: Howto: fail2ban für CCcam installieren

    behaupte jetzt mal das hier der fehler liegt
    was sollen die xxx bedeuten

    probier es mal so
    Code:
    failregex = CCcam: double login .*, .* \(<HOST>\) 
     
    #15

Diese Seite empfehlen