OScam: Anonyme Verbindungsversuche im Web Interface im 10-Minuten-Rhythmus

[fluXXXion]

Im Web Interface von OScam (1.20-unstable_svn Rev. 6481, aber auch mit älteren Versionen) habe ich im 10-Minuten-Rhythmus folgende Meldungen stehen:

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

Hinter der Adresse steckt www3.hostcandy.net.
Der Server läuft auf einem QNAP TS-419P+ mit einer V13 im Smargo Smartreader.

Gibt es irgendeine Chance, das zu unterdrücken? Ohne eine vorgeschaltete Hardware-Firewall natürlich (;

 

[Kathiandy]

Hi,du kannst in der Oscam-Konfiguration failban einrichten (Zeit in Minuten eintragen), dann wird die IP des abgewiesenen Users für die dementsprechende Folgezeit geblockt.Greetz Kathiandy

 

[Alex]

So steht's in der Streamboardwiki:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Wie und ob, du eine bestimmte IP von vorneherein bannen kannst, weiß allerdings nicht

 

[fluXXXion]

Hätte wohl erwähnen sollen, dass ich failban entsprechend eingerichtet habe, allerdings gilt die Sperrung ausschließlich für den Zugang zur Karte, nicht für das Web Interface.

 

[lenny]

Also mach doch erstmal halblang !
Wenn dort steht "anonymous disconnected from 94.23.153.112" dann war dieser anonymous mit dir bereits verbunden.Sprich er ist ein Client von dir.
Es kann durchaus sein dass ein client sich mehrmals mit dir verbindet - solange es immer dieselbe IP ist ist das unschädlich.Das liegt in der Natur von CCCam.
Wenn es ein Unbekannter / Fremder ist der sich einloggen will dann sieht die Logdatei anders aus. Illegal User , wrong password ect.
Pass einfach deine Uniq an und dann hören die Meldungen auch auf.

 

[ysimmerath]

falls du Debian nutzt mach vorübergehend mit iptabes bis du mit fail2ban soweit bist

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

 

[fluXXXion]

@lenny: Nein, das ist und war definitiv keiner meiner Clients. Wie bereits erwähnt, wird die IP mit www3.hostcandy.net aufgelöst.
Ich sehe ehrlich gesagt auch keinen Grund, "halblang" zu machen :JC_hmmm:

EDIT: Danke für den Tipp mit iptables, wird ausprobiert!

Funktioniert leider nicht:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[lenny]

Nun gut - dann solltest du das Paket nicht rejecten sondern einfach verwerfen ;=) Was sagt denn lsmod ?

 

[fluXXXion]

lsmod sagt:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

 

[ysimmerath]

steht doch

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

übersetzt

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

.

 

[saki]

Auf welche zahl von uniq müsste es eingestellt sein damit sowas nicht paassiert?Danke

 

[razorback]

kann es sein, daß du nach außen über einen der default-ports sichtbar bist ?
(12000, 34000 etc...)

im Internet existiert sogar eine Liste der vermuteten Card-Server
Die wurde offenbar über einen Portscan auf die bekannten standard-ports generiert - details kenn ich nicht, hab nur den link zu dieser liste bekommen.

Link veralten (gelöscht)

ich weiß ja nicht, wieviele clients/proxies du draußen hast, und ob du dafür wirklich einen der standard ports benutzt - aber wenn ja, solltest das schleunigst ändern.

Razorback

 

[fluXXXion]

Nein, keine Standard-Ports.
Und meine DynDNS-Domäne ist auch nicht in der Liste.

Das mit "uniq" verstehe ich in diesem Zusammenhang überhaupt nicht, Google bringt mich da auch nicht weiter.

Du musst dich Anmelden oder Registrieren um den Inhalt der Codes zu sehen!

 

[razorback]

wenn du keine standard ports verwendest, so muß der Übeltäter ja auch deinen Sharing-Port kennen.
Was darauf hinweist, daß es wohl vielleicht doch ein ehemaliger user von dir ist.
in deinem log muß ja vor der "disconnected" message auch noch der Verbindungsversuch stehen.
steht da auch schon "anonymous?.

Du könntest natürlich - wenn du nicht den port umstellen willst/kannst - die Verbindung ja bereits in der Firewall abtöten.
Ich mach das in meinem Router, wenn sowas auftritt (kommt ja nicht nur beim CS vor, sowas.....)

Was den uniq angeht, so war damit der einschlägige Parameter im [account] in der oscam.user gemeint - nur der hilft bei dem problem genau nix.

Razorback

 

[fluXXXion]

Hab es jetzt mit iptables auf dem Router gelöst.