fail2ban für CCcam installieren

[BaNaNaBeck]

fail2ban schützt vor Double Logins, Bad command" oder Signature failed und sperrt die IP von der es ausgeht über die Dauer eine frei definierbare Zeit. fail2ban überwacht das Logfile syslog und wird dannach aktiv.

Es ist erst mit diesen Einstellungen möglich ab Verision CCcam 2.1.2 oder höher. Hier im Thread gibt es auch Möglichkeiten für ältere Versionen.

Was ist fail2ban?

fail2ban ist ein kleines Tool, welches unter Linux Logs durchsucht und bei bestimmten Inhalten entsprechende Aktionen ausführen kann. Es kann z.B. Spambots und Vulnerability Scanner dynamisch erkennen und aussperren. Das bringt einige Vorteile mit sich:

* Logs können daran gehindert werden, durch Attacken Speicherplatz zu fressen bis keiner mehr da ist (denn dann wird es erst richtig lustig)
* ScriptKidis können sich schön herrlich die Milchzähne an dem Server ausbeißen
* Bots, die nach bekannten Sicherheitslücken suchen können leicht gesperrt werden.
* Brutefoce-Attacken können leicht und automatisch geblockt werden.

Was ist fail2ban nicht?


Es ist kein Sicherheitstool! fail2ban ist ein kleines Teil im Puzzle und kann gewisse Grauzonen abdecken. Jedoch nie für Sicherheit in dem Sinne sorgen.

Die Installation ist ganz einfach und schnell durchzuführen:


Installation der Software fail2ban:

apt-get install fail2ban -y

Nun bearbeitet Ihr die Datei << /etc/fail2ban/jail.conf >> und fügt folgendes hinzu.

[cccam_sigfail]

enabled = true
port = 12000
filter = cccam-signature
logpath = /var/log/syslog
bantime = 1800
maxretry = 10


[cccam_badcmd]

enabled = true
port = 12000
filter = cccam-command
logpath = /var/log/syslog
bantime  = 1800
maxretry = 10


[cccam_2login]

enabled = true
port = 12000
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 10


[cccam_illegal] 
enabled = true 
port = 12000 
filter = cccam-illegal 
logpath = /var/log/syslog
bantime = 1800 
maxretry = 10

maxretry = Fehlversuche die erlaubt sind, bevor die IP gebannt wird
bantime = Bandauer - Angabe erfolgt in Sekunden
Gegebenenfalls müsst Ihr noch den Port an euren CCcam Port anpassen.


Nun legt Ihr noch die Filter an damit fail2ban auch weiß, was es tun soll:
Dies geschieht unter: << /etc/fail2ban/filter.d/ >> Nehmt dafür einen Linuxfähigen Editor oder am besten gleich mit WINSCP.

Datei 1: cccam-signature.conf

[Definition]
failregex = CCcam: kick <HOST>, signature failed
ignoreregex =

Datei2: cccam-login.conf

[Definition]
failregex = CCcam: double login .*, .* \(<HOST>\)
ignoreregex =

Datei 3: cccam-command.conf

[Definition]
failregex = CCcam: kick <HOST>.*, bad command
ignoreregex =

Datei 4: cccam-illegal.conf

[Definition] 
failregex = CCcam: illegal user .* from <HOST> 
ignoreregex =

Am Ende muss fail2ban noch durchgestartet werden.

/etc/init.d/fail2ban restart

Unter << /var/log/fail2ban.log >> seht Ihr die Aktivitäten des Tools.

 

[sbanane]

AW: Howto: fail2ban für CCcam installieren

ich bin so frei und mach ein kleines how2 für eine firewall, die man zu fail2ban nebenher laufen lassen kann. hier kann man ein- und ausgehende ports zu bzw. öffnen und gewisse adressen ausperren.

als erstes erstellen wir unsere blackliste. ich verwende hierzu putty

touch /usr/local/etc/blacklist.txt

unter /etc/init.d/ legen wir unsere firewall an

touch /etc/init.d/firewall

wir vergeben die rechte

chmod +x /etc/init.d/firewall

als nächstes passen wir das firewallscript an

nano /etc/init.d/firewall

und kopieren folgendes hinein

#!/bin/sh

#needed modules
modprobe ip_conntrack_ftp

BLACKLIST=/usr/local/etc/blacklist.txt

#trigger for your ports
IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80" 
IN_ALLOWED_UDP="53 7878"
OUT_ALLOWED_UDP="53"
IN_ALLOWED_ICMP=" "
OUT_ALLOWED_IMCP=" "

case "$1" in
   start)

      # Stopping IP trap
      /etc/init.d/fail2ban stop
      echo "Stopping fail2ban IP trap ..."

      # Clear iptables
      iptables -F

      #Defaults
      iptables -P INPUT DROP
      iptables -P OUTPUT DROP
      iptables -P FORWARD DROP

      # loopback communication
      iptables -A INPUT -i lo -j ACCEPT
      iptables -A OUTPUT -o lo -j ACCEPT

      # persist on connections
      iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      # Ban blacklisted IPs
      for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
        echo "Blocking $x..."
        iptables -A INPUT -t filter -s $x -j DROP
      done

      # TCP rules in
      for port in $IN_ALLOWED_TCP; do
        echo "Accepting TCP port $port"
        iptables -A INPUT -t filter -p tcp --dport $port -j ACCEPT
      done

      # TCP rules out
      for port in $OUT_ALLOWED_TCP; do
        echo "Allowing sending over TCP port $port"
        iptables -A OUTPUT -t filter -p tcp --dport $port -j ACCEPT
      done

      # UDP rules in
      for port in $IN_ALLOWED_UDP; do
        echo "Accepting UDP  port $port"
        iptables -A INPUT -t filter -p udp --dport $port -j ACCEPT
      done

      # UDP  rules out
      for port in $OUT_ALLOWED_UDP; do
        echo "Allowing sending over UDP port $port"
        iptables -A OUTPUT -t filter -p udp --dport $port -j ACCEPT
      done

      # ICMP rules in
      for port in $IN_ALLOWED_ICMP; do
        echo "Accepting ICMP  port $port"
        iptables -A INPUT -t filter -p icmp --dport $port -j ACCEPT
      done

      # ICMP rules out
      for port in $OUT_ALLOWED_ICMP; do
        echo "Allowing sending over ICMP port $port"
        iptables -A OUTPUT -t filter -p icmp --dport $port -j ACCEPT
      done

      # Dropping startup requests
      iptables -A INPUT -t filter -p tcp --syn -j DROP

      # Restarting IP trap
      /etc/init.d/fail2ban start
      echo "Fire up IP trap again ..."
      ;;
   stop)
      /etc/init.d/fail2ban stop
      iptables -F
      iptables -P INPUT ACCEPT
      iptables -P OUTPUT ACCEPT
      echo "Warning! Firewall is stopped, server is unprotected now!"
      ;;
   restart)
      $0 stop
      sleep 1
      $0 start
      ;;
      *)
      echo "Usage $0 {start|stop|restart}"
      ;;
esac

hier passen wir die ports an die wir benötigen und ändern sie dementsprechend ab

#trigger for your ports
IN_ALLOWED_TCP="12000" -------------> hier den eigenen server listen port angeben bzw. ports die für uns von aussen erreichbar sein sollen
OUT_ALLOWED_TCP="xx xxxxx xxxxx" ----> hier die ports unser sharepartner eigeben, sonst kommt nix an ;=D
IN_ALLOWED_UDP="53 7878"
OUT_ALLOWED_UDP="53"
IN_ALLOWED_ICMP=" "
OUT_ALLOWED_IMCP=" "

so das wars schon fast. jetzt aktivieren wir noch die firewall dass sie beim reboot mit hochfährt

cd /etc/init.d
update-rc.d firewall defaults

nach jeder anpassung der firewall genügt ein restart

/etc/init.d/firewall restart

das alles wurde von mir auf debian getestet und läuft. man kann in der blacklist ip nummern eintragen, doch bin ich noch nicht so weit gekommen.

special thx to gagi für das firewallscript

 

[Satanos666]

AW: Howto: fail2ban für CCcam installieren

Hätte jemand einen passenden Filter für die "CCcam-illegal_users.log" ich würde gern die Leute zu mindest temp. aussperren, die meine line nicht löschen.
Des Weiteren hätte ich noch eine Frage zu der deamon.log, die existirt bei mir unter var/log nicht. hab ich irgendwas übersehen/vergessen?

Installiert habe ich damals alles über ipc 9.54

 

[benbensimpson]

AW: Howto: fail2ban für CCcam installieren

die idee hatte ich auch schon mal gepostet :dance3:
KLICK KLACK

 

[Satanos666]

AW: Howto: fail2ban für CCcam installieren

die idee hatte ich auch schon mal gepostet :dance3:
KLICK KLACK

EM aber da werden doch auch nicht die illegal Users geblockt oder spinne ich?

 

[schnackell]

AW: Howto: fail2ban für CCcam installieren

Hätte jemand einen passenden Filter für die "CCcam-illegal_users.log" ich würde gern die Leute zu mindest temp. aussperren, die meine line nicht löschen.
Des Weiteren hätte ich noch eine Frage zu der deamon.log, die existirt bei mir unter var/log nicht. hab ich irgendwas übersehen/vergessen?

Installiert habe ich damals alles über ipc 9.54

Würde ich auch gerne wissen!
Wenn da jemand helfen könnte?

 

[benbensimpson]

AW: Howto: fail2ban für CCcam installieren

EM aber da werden doch auch nicht die illegal Users geblockt oder spinne ich?

stimmt aber jede config ist ja auch erweiterbar
und man kann es ja auch nicht jedem recht machen der eine will das und der andere will das
ps: nicht falsch verstehen ist nur meine meinung

 

[Satanos666]

AW: Howto: fail2ban für CCcam installieren

Ok, ich selber wüsste aber nicht wie ich den filter schreibe, deswegen frage ich ob jemand bereits einen hätte für mich.
Was kann ich gegen das Problem mit der debug.log machen?

 

[smuso]

AW: Howto: fail2ban für CCcam installieren

hy

also das Firewall script läuft bei mir nicht. Keine Ahnung warum

bei mir kommt das

root@smuso0 /etc/init.d > iptables -L -v
WARNING: Could not open 'kernel/net/netfilter/x_tables.ko': No such file or directory
FATAL: Could not open 'kernel/net/ipv4/netfilter/ip_tables.ko': No such file or directory
iptables v1.4.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.


mfg

 

[Pretender666]

AW: Howto: fail2ban für CCcam installieren

Ich bin jetzt so weit dass ich fail2ban am laufen habe, benötigt man nun noch die Firewall (2.Posting) oder blockt fail2ban schon von Haus aus???

Ich finde es etwas unsinnig Ports direkt zu blockieren, das ist ja ein riesen Aufwand alle Client Ports da einzutragen, da ja jeder was anderes hat.

Mein Server soll alle Ports benutzen können. Der Router sorgt doch dafür dass nur 12000 von aussen an den Server weitergeleitet wird. Also wieso noch Ports explizit am Server blockieren??

Wie würde die Config dann aussehen, läßt man das dann leer oder Stern * ?

 

[benbensimpson]

AW: Howto: fail2ban für CCcam installieren

Ich bin jetzt so weit dass ich fail2ban am laufen habe, benötigt man nun noch die Firewall (2.Posting) oder blockt fail2ban schon von Haus aus???

die firewall brauchst du nicht extra fail2ban läuft auch eigenständig

Ich finde es etwas unsinnig Ports direkt zu blockieren, das ist ja ein riesen Aufwand alle Client Ports da einzutragen, da ja jeder was anderes hat.

wenn du eh alles über den port 12000 laufen läst dann brauchst du auch nur den dort in die firewall eintragen und einmal 12000 einstellen ist doch nun keine riesen arbeit oder doch ???

Mein Server soll alle Ports benutzen können. Der Router sorgt doch dafür dass nur 12000 von aussen an den Server weitergeleitet wird. Also wieso noch Ports explizit am Server blockieren??

warum gibt es bei windows eine firewall und wie kommen trojaner oder viren auf deinen pc??
warum jeden möglichen port nach außen offen lassen und so mehr platz für Angriffe lassen wenn man eh nur mit bestimmten ports arbeitet und so das system ein kleines bisschen sicherer machen kann

Wie würde die Config dann aussehen, läßt man das dann leer oder Stern * ?

du musst da schon ports eintragen sonst wir das nichts werden

 

[blueskyofheaven]

AW: Howto: fail2ban für CCcam installieren

warum kommt es zu so vielen "bad command" bei meinen clienten?

 

[benbensimpson]

AW: Howto: fail2ban für CCcam installieren

frag mal am besten deine clienten
evtl schlechte hardware (reciver,router,netzwerk)
hatte es bei mir auch bei 2 clienten habe da mal die router getauscht gegen eine fritzbox und siehe da kaum noch fehler meldungen

 

[mrnice00]

AW: Howto: fail2ban für CCcam installieren

Hallo habe auch fail2ban am laufen nur ein kleines Problem was wie folgt aussieht

beim starten von Fail2ban sieht alles gut aus

2010-07-27 14:37:01,155 fail2ban.jail : INFO Creating new jail 'cccam'
2010-07-27 14:37:01,155 fail2ban.jail : INFO Jail 'cccam' uses poller
2010-07-27 14:37:01,183 fail2ban.filter : INFO Added logfile = /var/log/syslog
2010-07-27 14:37:01,185 fail2ban.filter : INFO Set maxRetry = 10
2010-07-27 14:37:01,188 fail2ban.filter : INFO Set findtime = 600
2010-07-27 14:37:01,190 fail2ban.actions: INFO Set banTime = 6000
2010-07-27 14:37:01,214 fail2ban.jail : INFO Creating new jail 'ssh-ddos'
2010-07-27 14:37:01,214 fail2ban.jail : INFO Jail 'ssh-ddos' uses poller
2010-07-27 14:37:01,216 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-07-27 14:37:01,218 fail2ban.filter : INFO Set maxRetry = 6
2010-07-27 14:37:01,221 fail2ban.filter : INFO Set findtime = 600
2010-07-27 14:37:01,223 fail2ban.actions: INFO Set banTime = 6000
2010-07-27 14:37:01,241 fail2ban.jail : INFO Creating new jail 'ssh'
2010-07-27 14:37:01,241 fail2ban.jail : INFO Jail 'ssh' uses poller
2010-07-27 14:37:01,244 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-07-27 14:37:01,246 fail2ban.filter : INFO Set maxRetry = 6
2010-07-27 14:37:01,249 fail2ban.filter : INFO Set findtime = 600
2010-07-27 14:37:01,251 fail2ban.actions: INFO Set banTime = 6000
2010-07-27 14:37:01,508 fail2ban.jail : INFO Jail 'cccam' started
2010-07-27 14:37:01,511 fail2ban.jail : INFO Jail 'ssh-ddos' started
2010-07-27 14:37:01,541 fail2ban.jail : INFO Jail 'ssh' started

mein "cccam Script" sieht wie folgt aus

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#
failregex = xxx CCcam: kick <HOST>, signature failed$
xxx CCcam: kick <HOST>.*, bad command$
xxx CCcam: double login .*, .* \(<HOST>\)$
　
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

eigentlich sollte er ja überprüfen ob es doppelte/falsche Anmeldungen und diese dann bannen

daemon.log

Jul 27 15:06:03 SRV-CS CCcam: illegal user xxr from 80.xx.43.xxJul 27 15:06:03 SRV-CS CCcam: deleting client xx.90.43.xx, signature failed
Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xx:3439 0x1810(0x4001)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xx:3439 failure from cache (took 0.0000 seconds)
Jul 27 15:06:03 SRV-CS CCcam: client xx ecm request for handler 0x1bdc0 0x1810(0x4001) sid 0x756a failed (took 0.0003 seconds)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xx:12000 0x1810(0x4001)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xxxx.org:12000 failure from cache (took 0.0000 seconds)
Jul 27 15:06:03 SRV-CS CCcam: client xxx ecm request for handler 0x1bfad 0x1810(0x4001) sid 0x756a failed (took 0.0004 seconds)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xxx:12000 0x1810(0x000)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xx:12000 failure from cache (took 0.0000 seconds)
Jul 27 15:06:03 SRV-CS CCcam: client xxx ecm request for handler 0x1cf8a 0x1810(0x0) sid 0x756a failed (took 0.0003 seconds)
Jul 27 15:06:03 SRV-CS CCcam: new tcp client from 83.xx.70.xx
Jul 27 15:06:04 SRV-CS CCcam: illegal user xx from 83.xx.70.xx
Jul 27 15:06:04 SRV-CS CCcam: deleting client 83.135.70.84, signature failed

Nur wie ihr seht passiert nichts kann man die losg "gesprächiger" machen oder sieht jemand den fehler auf anhieb?

Ich Danke im vorraus

 

[benbensimpson]

AW: Howto: fail2ban für CCcam installieren

failregex = xxx CCcam: kick <HOST>, signature failed$
xxx CCcam: kick <HOST>.*, bad command$
xxx CCcam: double login .*, .* \(<HOST>\)$

behaupte jetzt mal das hier der fehler liegt
was sollen die xxx bedeuten

probier es mal so

failregex = CCcam: double login .*, .* \(<HOST>\)