anleitung cccam mit fail2ban und firewallscript

[ysimmerath]

AW: anleitung cccam mit fail2ban und firewallscript

wo steht das so ??

daemon.log oder failban.log ?? oder wo ??

fail2ban neu starten ?? schon etliche male ......... :-(

es geht ja bei mir eher darum, dass cccam die double-logins und signature-failed nicht in die damon.log schreibt. also kann fail2ban sie auch nicht auswerten.

steht auf daemon.log ???

hoer mal hast du die # hinter failregex = Servername CCcam: double login .*, .* \(<HOST>\) weg gemacht und server name eintragen

könnte das problem

 

[datamen]

AW: anleitung cccam mit fail2ban und firewallscript

steht auf daemon.log ???

hoer mal hast du die # hinter failregex = Servername CCcam: double login .*, .* \(<HOST>\) weg gemacht und server name eintragen

könnte das problem

cccam-login.conf sieht so aus bei mir:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}?(?P<host>\S+)
# Values: TEXT
#
failregex = CCcam: double login .*, .* \(<HOST>\)
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

cccam-signature.conf so:

#Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}?(?P<host>\S+)
# Values: TEXT
#
failregex = CCcam: kick <HOST>, signature failed
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

aber es geht ja gar nicht in erster linie um fail2ban. denn wenn dieser eintrag "signature failed" nicht in der "daemon.log" auftaucht ...... dann kann fail2ban auch nichts machen.

 

[ysimmerath]

AW: anleitung cccam mit fail2ban und firewallscript

ja genau so. hast du den Port auch eingegeben im jail.conf ?

[cccam_signaturefailed]

enabled = true
port = 12000
filter = cccam-signature
logpath = /var/log/daemon.log
bantime = 86400
maxretry = 10

[cccam_doublelogin]

enabled = true
port = 12000
filter = cccam-login
logpath = /var/log/daemon.log
bantime = 86400
maxretry = 10

und bei failregex = Server name CCcam: double login .*, .* \(<HOST>\)trag bitte dein Server name

danach fail2ban Neustarten

 

[benbensimpson]

AW: anleitung cccam mit fail2ban und firewallscript

ja genau so. hast du den Port auch eingegeben im jail.conf ?

und bei failregex = Server name CCcam: double login .*, .* \(<HOST>\)trag bitte dein Server name

danach fail2ban Neustarten

mh du brauchst da eigendlich nichts eintragen

 

[datamen]

AW: anleitung cccam mit fail2ban und firewallscript

mh du brauchst da eigendlich nichts eintragen

nun hab ich es da sogar schon eingetragen, weill er immerzu damit nervt DD


aber zu dem thema warum CCcam die "signature failed" nicht in die "daemon.log" schreibt ....... hat wohl keiner mehr eine idee oder :-(

 

[benbensimpson]

AW: anleitung cccam mit fail2ban und firewallscript

hast du mal nen update der cccam gemacht
zeig doch mal dein cfg evtl sieht man da was drin

 

[datamen]

AW: anleitung cccam mit fail2ban und firewallscript

hast du mal nen update der cccam gemacht
zeig doch mal dein cfg evtl sieht man da was drin

F: und C:Line's .......


und das:

SERVER LISTEN PORT : 14000
ALLOW WEBINFO: yes
SHOW EXTENEDED CLIENT INFO : yes
WEBINFO USERNAME : luschifucker
WEBINFO PASSWORD : luschifucker
WEBINFO LISTEN PORT : 40000
DISABLE EMM : yes
SOFTKEY FILE : /var/keys/SoftCam.Key
CAID PRIO FILE : /var/etc/CCcam.prio
PROVIDERINFO FILE : /var/etc/CCcam.providers
CHANNELINFO FILE : /var/etc/CCcam.channelinfo
MINIMUM DOWNHOPS: 1
ALLOW TELNETINFO: no
DEBUG : no
SHOW TIMING : yes

 

[benbensimpson]

AW: anleitung cccam mit fail2ban und firewallscript

stell mal das debug auf jes wenn es auf no steht wir ja auch nichts in die logs geschreiben
das ist aber auch nicht die orginale cfg die bei dem script dabei war !!!

 

[datamen]

AW: anleitung cccam mit fail2ban und firewallscript

stell mal das debug auf jes ....!!!

das war es .... DANKE!!! DD

jetzt werden diese 3 meldungen von fail2ban verarbeitet:

-signature failed
-double login
-bad command

kennt einer die genauen ursachen für diese drei cccam-meldungen??

• double login ==> sollte doppeltes login sein ... entweder zwei receiver mit der selben c:line oder line weitergegeben oder ..... ??
• signature failed ==> F:Line auf dem Server deaktiviert mit #, Client hat seine dazugehörige C:Line aber noch aktiv und versucht sich immer wieder einzuloggen
• bad command ==> CCcam wird in kurzen Abständen und/oder zu oft nacheinander beim Clienten neu gestartet, bzw. durch ändern der cccam.cfg auf dem Clienten mehrfach nacheinander aktualisiert

 

[benbensimpson]

AW: anleitung cccam mit fail2ban und firewallscript

wenn du jetzt nur die fline auf dem Server raus nimmst # und nicht bei dem clienten die cline wird ja weiter versucht sich zum Server zu connecten
das ist dann -signature failed weil du ja die fline gesperrt hast

naja schon das es jetzt läuft

 

[ysimmerath]

AW: anleitung cccam mit fail2ban und firewallscript

das war es .... DANKE!!! DD

jetzt werden diese 3 meldungen von fail2ban verarbeitet:

-signature failed
-double login
-bad command

kennt einer die genauen ursachen für diese drei cccam-meldungen??

• double login ==> sollte doppeltes login sein ... entweder zwei receiver mit der selben c:line oder line weitergegeben oder ..... ??
• signature failed ==> ??
• bad command ==> ??

Ich hab immer gedacht du bist schlau aber jetzt weiss ich das du über schlau bist :emoticon-0136-giggl

 

[datamen]

AW: anleitung cccam mit fail2ban und firewallscript

Post 54 mal durch erkenntnisse aktualisiert ............

 

[automat]

AW: anleitung cccam mit fail2ban und firewallscript

OK, ich poste dann mal hier meine Fragen:

1. illegale user werden gekickt und für mehrere Stunden geblockt, dennoch sehe ich im CCcam-illegal_users.log, dass sie es minütlich weiter versuchen. Obwohl sie ja eigentlich in der jail.local:

[cccam_signaturefailed]
enabled = true
port = 12000
filter = cccam-signature
logpath = /var/log/daemon.log
bantime = 86400
maxretry = 10

gekickt wurden. Ich dachte, auch die Versuche werden schon geblockt...

2. bad command: user, vor allem auch legale user werden mit diesem command gekickt. Obwohl ich in der jail.local nichts von bad_command stehen habe. Ich möchte ja diese user nicht kicken oder bannen.

Feb 12 15:28:07 CCcam CCcam: kick 192.168.0.43(dm7000), bad command also meine eigene box wird auch gekickt...


Wie sollte denn eine jail.local richtigerweise aussehen?

thx schonmal

 

[benbensimpson]

AW: anleitung cccam mit fail2ban und firewallscript

zu 1 wenn ein user gebant wird für ca 24h dann dürfte sich in der illegal.user.log nichts mehr tun
hier mal nen auszug von mir

Feb 12 16:00:33 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:00:36 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:00:46 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:00:57 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:01:07 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:01:17 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:01:27 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:01:49 192 CCcam: illegal user  from 79.205.143.***
Feb 12 16:01:59 192 CCcam: illegal user  from 79.205.143.***

2010-02-12 16:02:00,741 fail2ban.actions: WARNING [cccam_signaturefailed] Ban 79.205.143.***

wie man schön an der zeit sieht wurde der user jetzt gebant und seit dem ist ruhe in dem illegal.user.log

wenn jetzt deine eigene Box auch gebannt wird dann stimmt etwas in deinen configs nicht
weil wenn du ewig ein bad command hast dann läuft da etwas nicht sauber durch
du hast den wert der anmelde versuche ja auf 10 stehen (maxretry = 10)
deshalb wundert mich das ganze jetzt warum deine box auch gebannt wird
schau dir mal den log der cccam genau an und schau mal wie oft du die bad commands bekommst

 

[automat]

AW: anleitung cccam mit fail2ban und firewallscript

2010-02-12 14:39:58,837 fail2ban.actions: WARNING   [cccam_signaturefailed] Ban 195.241.227.xxx
2010-02-12 14:39:58,985 fail2ban.actions: WARNING   [cccam_signaturefailed] Ban 83.109.59.xxx
2010-02-12 14:40:43,129 fail2ban.actions: WARNING   [cccam_signaturefailed] Ban 41.230.61.xxx
2010-02-12 14:49:41,281 fail2ban.actions: WARNING   [cccam_signaturefailed] Ban 92.105.7.xxx

ja du hast Recht. In meinem fail2ban.log sieht es genauso aus.

Seither ist mit denen Ruhe.

Inzwischen bin ich im Megathread auf Seite 49 angekommen. Ist zwar etwas mühsam sich da durchzuarbeiten, aber es lohnt sich schon.

Die eine oder andere Frage wird da sicher noch beantwortet werden. Sonst melde ich mich wieder hier.

Übrigens ist es mir auch passiert, dass nach einem reboot ssh mit winscp und putty nicht mehr zur Verfügung stand. Ursache war ein chmod des var Verzeichnises auf 777. Entdeckt habe ich es erst, als ich den Monitor wieder angeschlossen hatte..:diablo:

thx soweit mal