1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Gelöst OScam: Anonyme Verbindungsversuche im Web Interface im 10-Minuten-Rhythmus

Dieses Thema im Forum "OScam Archiv" wurde erstellt von fluXXXion, 7. März 2012.

  1. fluXXXion
    Offline

    fluXXXion Ist gelegentlich hier

    Registriert:
    13. Januar 2011
    Beiträge:
    54
    Zustimmungen:
    8
    Punkte für Erfolge:
    0
    Im Web Interface von OScam (1.20-unstable_svn Rev. 6481, aber auch mit älteren Versionen) habe ich im 10-Minuten-Rhythmus folgende Meldungen stehen:

    Code:
    2012/03/07 17:00:05 1C6908 c anonymous disconnected from 94.23.153.112 
    2012/03/07 17:00:05 1C6908 c thread 40BA8490 ended!
    
    Hinter der Adresse steckt www3.hostcandy.net.
    Der Server läuft auf einem QNAP TS-419P+ mit einer V13 im Smargo Smartreader.

    Gibt es irgendeine Chance, das zu unterdrücken? Ohne eine vorgeschaltete Hardware-Firewall natürlich (;
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. Kathiandy
    Offline

    Kathiandy Ist oft hier

    Registriert:
    28. Juni 2009
    Beiträge:
    156
    Zustimmungen:
    46
    Punkte für Erfolge:
    28
    Hi,du kannst in der Oscam-Konfiguration failban einrichten (Zeit in Minuten eintragen), dann wird die IP des abgewiesenen Users für die dementsprechende Folgezeit geblockt.Greetz Kathiandy
     
    #2
    al-x83 gefällt das.
  4. al-x83
    Offline

    al-x83 Super-Moderator Digital Eliteboard Team

    Registriert:
    10. Januar 2012
    Beiträge:
    13.435
    Zustimmungen:
    12.699
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    SysAdmin
    Ort:
    Paradise City
    So steht's in der Streamboardwiki:

    Wie und ob, du eine bestimmte IP von vorneherein bannen kannst, weiß allerdings nicht
     
    #3
  5. fluXXXion
    Offline

    fluXXXion Ist gelegentlich hier

    Registriert:
    13. Januar 2011
    Beiträge:
    54
    Zustimmungen:
    8
    Punkte für Erfolge:
    0
    Hätte wohl erwähnen sollen, dass ich failban entsprechend eingerichtet habe, allerdings gilt die Sperrung ausschließlich für den Zugang zur Karte, nicht für das Web Interface.
     
    #4
  6. lenny
    Offline

    lenny Freak

    Registriert:
    7. Februar 2011
    Beiträge:
    234
    Zustimmungen:
    266
    Punkte für Erfolge:
    63
    Also mach doch erstmal halblang !
    Wenn dort steht "anonymous disconnected from 94.23.153.112" dann war dieser anonymous mit dir bereits verbunden.Sprich er ist ein Client von dir.
    Es kann durchaus sein dass ein client sich mehrmals mit dir verbindet - solange es immer dieselbe IP ist ist das unschädlich.Das liegt in der Natur von CCCam.
    Wenn es ein Unbekannter / Fremder ist der sich einloggen will dann sieht die Logdatei anders aus. Illegal User , wrong password ect.
    Pass einfach deine Uniq an und dann hören die Meldungen auch auf.
     
    #5
  7. ysimmerath
    Offline

    ysimmerath Meister

    Registriert:
    5. Dezember 2007
    Beiträge:
    948
    Zustimmungen:
    432
    Punkte für Erfolge:
    63
    Ort:
    31°37'40.96"N
    falls du Debian nutzt mach vorübergehend mit iptabes bis du mit fail2ban soweit bist

    Code:
    
    iptables -A INPUT -s[COLOR=#333333] 94.23.153.112[/COLOR] -j REJECT
    
    
     
    Zuletzt bearbeitet: 8. März 2012
    #6
  8. fluXXXion
    Offline

    fluXXXion Ist gelegentlich hier

    Registriert:
    13. Januar 2011
    Beiträge:
    54
    Zustimmungen:
    8
    Punkte für Erfolge:
    0
    @lenny: Nein, das ist und war definitiv keiner meiner Clients. Wie bereits erwähnt, wird die IP mit www3.hostcandy.net aufgelöst.
    Ich sehe ehrlich gesagt auch keinen Grund, "halblang" zu machen :JC_hmmm:

    EDIT: Danke für den Tipp mit iptables, wird ausprobiert!

    Funktioniert leider nicht:

    [~] # iptables -A INPUT -s 94.23.153.112
    modprobe: could not parse modules.dep

    iptables v1.4.12: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
    Perhaps iptables or your kernel needs to be upgraded.
     
    Zuletzt bearbeitet: 7. März 2012
    #7
  9. lenny
    Offline

    lenny Freak

    Registriert:
    7. Februar 2011
    Beiträge:
    234
    Zustimmungen:
    266
    Punkte für Erfolge:
    63
    Nun gut - dann solltest du das Paket nicht rejecten sondern einfach verwerfen ;=) Was sagt denn lsmod ?
     
    #8
  10. fluXXXion
    Offline

    fluXXXion Ist gelegentlich hier

    Registriert:
    13. Januar 2011
    Beiträge:
    54
    Zustimmungen:
    8
    Punkte für Erfolge:
    0
    lsmod sagt:

    [/] # lsmod
    Module Size Used by Tainted: P
    iscsi_tcp 7839 0 - Live 0xbf544000
    libiscsi_tcp 12027 1 iscsi_tcp, Live 0xbf53b000
    libiscsi 30440 2 iscsi_tcp,libiscsi_tcp, Live 0xbf52c000
    scsi_transport_iscsi 22906 3 iscsi_tcp,libiscsi, Live 0xbf51e000
    fbdisk 18684 0 - Live 0xbf4f3000
    uvcvideo 57291 0 - Live 0xbf4de000
    v4l2_common 11166 0 - Live 0xbf4d6000
    videodev 34879 1 uvcvideo, Live 0xbf4c7000
    v4l1_compat 13447 2 uvcvideo,videodev, Live 0xbf4be000
    v4l2_int_device 2026 0 - Live 0xbf4b8000
    snd_usb_caiaq 17657 0 - Live 0xbf4ad000
    snd_usb_audio 61517 0 - Live 0xbf491000
    snd_usb_lib 15172 1 snd_usb_audio, Live 0xbf487000
    snd_hwdep 4809 1 snd_usb_audio, Live 0xbf480000
    snd_pcm_oss 35595 0 - Live 0xbf470000
    snd_mixer_oss 13108 1 snd_pcm_oss, Live 0xbf467000
    snd_pcm 56634 3 snd_usb_caiaq,snd_usb_audio,snd_pcm_oss, Live 0xbf450000
    snd_seq_oss 25585 0 - Live 0xbf442000
    snd_seq_midi 3874 0 - Live 0xbf43c000
    snd_seq_midi_event 4566 2 snd_seq_oss,snd_seq_midi, Live 0xbf435000
    snd_seq 43233 5 snd_seq_oss,snd_seq_midi,snd_seq_midi_event, Live 0xbf422000
    snd_rawmidi 15853 3 snd_usb_caiaq,snd_usb_lib,snd_seq_midi, Live 0xbf418000
    snd_page_alloc 4715 1 snd_pcm, Live 0xbf411000
    snd_seq_device 4739 4 snd_seq_oss,snd_seq_midi,snd_seq,snd_rawmidi, Live 0xbf40a000
    snd_timer 16026 2 snd_pcm,snd_seq, Live 0xbf400000
    snd 37095 12 snd_usb_caiaq,snd_usb_audio,snd_usb_lib,snd_hwdep,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_seq_oss,snd_seq,snd_rawmidi,snd_seq_device,snd_timer, Live 0xbf3ed000
    soundcore 4763 1 snd, Live 0xbf3e6000
    mac80211 127193 0 - Live 0xbf3ba000
    cfg80211 118284 1 mac80211, Live 0xbf391000
    lib80211 3384 0 - Live 0xbf38b000
    fnotify 26889 0 - Live 0xbf37e000 (P)
    smbfs 60344 0 - Live 0xbf367000
    etxhci_hcd 59527 0 - Live 0xbf351000
    cifs 237906 0 - Live 0xbf30a000
    nfs 263292 0 - Live 0xbf2b5000
    udf 86992 0 - Live 0xbf298000
    isofs 31577 0 - Live 0xbf28a000
    ufsd 457675 0 - Live 0xbf1f5000 (P)
    ext4 233642 1 - Live 0xbf1ac000
    jbd2 44609 1 ext4, Live 0xbf199000
    sysinfo 930 0 - Live 0xbf193000
    usblp 11304 0 - Live 0xbf18a000
    usbhid 15894 0 - Live 0xbf180000
    cryptodev 17424 0 - Live 0xbf175000
    mv_cesa 4323 0 - Live 0xbf16e000
    sha512_generic 10151 0 - Live 0xbf166000
    sha256_generic 8994 0 - Live 0xbf15e000
    sha1_generic 1685 0 - Live 0xbf158000
    aes_generic 34700 1 mv_cesa, Live 0xbf14a000
    dm_crypt 11755 0 - Live 0xbf141000
    dm_mod 56014 1 dm_crypt, Live 0xbf129000
    raid456 55681 1 - Live 0xbf114000
    async_raid6_recov 3592 1 raid456, Live 0xbf10e000
    async_pq 2701 2 raid456,async_raid6_recov, Live 0xbf108000
    async_xor 1115 3 raid456,async_raid6_recov,async_pq, Live 0xbf102000
    async_memcpy 628 2 raid456,async_raid6_recov, Live 0xbf0fc000
    async_tx 1287 5 raid456,async_raid6_recov,async_pq,async_xor,async_memcpy, Live 0xbf0f6000
    raid6_pq 75781 2 async_raid6_recov,async_pq, Live 0xbf0de000
    xor 4859 1 async_xor, Live 0xbf0d7000
    autofs 10688 0 - Live 0xbf0ce000
    nls_utf8 954 0 - Live 0xbf0c8000
    nls_iso8859_2 3583 0 - Live 0xbf0c2000
    nls_cp850 3831 0 - Live 0xbf0bc000
    nls_cp437 4599 0 - Live 0xbf0b5000
    vfat 8512 0 - Live 0xbf0ad000
    fat 44947 1 vfat, Live 0xbf09b000
    appletalk 24361 0 - Live 0xbf08e000
    psnap 1515 1 appletalk, Live 0xbf088000
    llc 3018 1 psnap, Live 0xbf082000
    quota_v2 3437 0 - Live 0xbf07c000
    quota_v1 2294 0 - Live 0xbf076000
    quota_tree 6464 1 quota_v2, Live 0xbf06f000
    fuse 52045 0 - Live 0xbf059000
    ehci_hcd 33293 0 - Live 0xbf04a000
    hid 40232 1 usbhid, Live 0xbf03a000
    ext3 117088 2 - Live 0xbf012000
    jbd 37947 1 ext3, Live 0xbf000000
    [/] #
     
    #9
  11. ysimmerath
    Offline

    ysimmerath Meister

    Registriert:
    5. Dezember 2007
    Beiträge:
    948
    Zustimmungen:
    432
    Punkte für Erfolge:
    63
    Ort:
    31°37'40.96"N
    steht doch
    übersetzt
    .
     
    #10
  12. saki
    Offline

    saki Meister

    Registriert:
    1. Januar 2009
    Beiträge:
    723
    Zustimmungen:
    51
    Punkte für Erfolge:
    28
    Auf welche zahl von uniq müsste es eingestellt sein damit sowas nicht paassiert?Danke
     
    #11
  13. razorback
    Offline

    razorback Power Elite User

    Registriert:
    21. Mai 2008
    Beiträge:
    2.012
    Zustimmungen:
    1.308
    Punkte für Erfolge:
    113
    Beruf:
    IT
    Ort:
    Wien-Süd
    kann es sein, daß du nach außen über einen der default-ports sichtbar bist ?
    (12000, 34000 etc...)

    im Internet existiert sogar eine Liste der vermuteten Card-Server
    Die wurde offenbar über einen Portscan auf die bekannten standard-ports generiert - details kenn ich nicht, hab nur den link zu dieser liste bekommen.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    ich weiß ja nicht, wieviele clients/proxies du draußen hast, und ob du dafür wirklich einen der standard ports benutzt - aber wenn ja, solltest das schleunigst ändern.

    Razorback
     
    #12
  14. fluXXXion
    Offline

    fluXXXion Ist gelegentlich hier

    Registriert:
    13. Januar 2011
    Beiträge:
    54
    Zustimmungen:
    8
    Punkte für Erfolge:
    0
    Nein, keine Standard-Ports.
    Und meine DynDNS-Domäne ist auch nicht in der Liste.

    Das mit "uniq" verstehe ich in diesem Zusammenhang überhaupt nicht, Google bringt mich da auch nicht weiter.

    Code:
    [B]Bsp: uniq <eingabeDatei > ausgabedatei[/B] 
    -liest aus der Eingabedatei alle Zeilen, vergleicht diese mit den nachfolgenden und löscht Duplicate. Man sollte vorher die Textdatei sortieren, um alle mehrfach vorkommenden Zeilen zu entfernen. Schließlich wird das Ergebnis in die Ausgabedatei geschrieben. 
    
     
    Zuletzt bearbeitet: 8. März 2012
    #13
  15. razorback
    Offline

    razorback Power Elite User

    Registriert:
    21. Mai 2008
    Beiträge:
    2.012
    Zustimmungen:
    1.308
    Punkte für Erfolge:
    113
    Beruf:
    IT
    Ort:
    Wien-Süd
    wenn du keine standard ports verwendest, so muß der Übeltäter ja auch deinen Sharing-Port kennen.
    Was darauf hinweist, daß es wohl vielleicht doch ein ehemaliger user von dir ist.
    in deinem log muß ja vor der "disconnected" message auch noch der Verbindungsversuch stehen.
    steht da auch schon "anonymous?.

    Du könntest natürlich - wenn du nicht den port umstellen willst/kannst - die Verbindung ja bereits in der Firewall abtöten.
    Ich mach das in meinem Router, wenn sowas auftritt (kommt ja nicht nur beim CS vor, sowas.....)

    Was den uniq angeht, so war damit der einschlägige Parameter im [account] in der oscam.user gemeint - nur der hilft bei dem problem genau nix.

    Razorback
     
    #14
  16. fluXXXion
    Offline

    fluXXXion Ist gelegentlich hier

    Registriert:
    13. Januar 2011
    Beiträge:
    54
    Zustimmungen:
    8
    Punkte für Erfolge:
    0
    Hab es jetzt mit iptables auf dem Router gelöst.
     
    #15

Diese Seite empfehlen