Dies ist eine mobil optimierte Seite, die schnell lädt. Wenn Sie die Seite ohne Optimierung laden möchten, dann klicken Sie auf diesen Text.

fail2ban für CCcam installieren

    Nobody is reading this thread right now.

BaNaNaBeck

Registriert
7. Februar 2008
Beiträge
2.975
Reaktionspunkte
2.416
Punkte
373
Ort
Überall und Nirgendwo
fail2ban schützt vor Double Logins, Bad command" oder Signature failed und sperrt die IP von der es ausgeht über die Dauer eine frei definierbare Zeit. fail2ban überwacht das Logfile syslog und wird dannach aktiv.

Es ist erst mit diesen Einstellungen möglich ab Verision CCcam 2.1.2 oder höher. Hier im Thread gibt es auch Möglichkeiten für ältere Versionen.

Die Installation ist ganz einfach und schnell durchzuführen:


Installation der Software fail2ban:
Code: 
apt-get install fail2ban -y
Nun bearbeitet Ihr die Datei << /etc/fail2ban/jail.conf >> und fügt folgendes hinzu.

Code: 
[cccam_sigfail]

enabled = true
port = 12000
filter = cccam-signature
logpath = /var/log/syslog
bantime = 1800
maxretry = 10


[cccam_badcmd]

enabled = true
port = 12000
filter = cccam-command
logpath = /var/log/syslog
bantime  = 1800
maxretry = 10


[cccam_2login]

enabled = true
port = 12000
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 10


[cccam_illegal] 
enabled = true 
port = 12000 
filter = cccam-illegal 
logpath = /var/log/syslog
bantime = 1800 
maxretry = 10
maxretry = Fehlversuche die erlaubt sind, bevor die IP gebannt wird
bantime = Bandauer - Angabe erfolgt in Sekunden
Gegebenenfalls müsst Ihr noch den Port an euren CCcam Port anpassen.


Nun legt Ihr noch die Filter an damit fail2ban auch weiß, was es tun soll:
Dies geschieht unter: << /etc/fail2ban/filter.d/ >> Nehmt dafür einen Linuxfähigen Editor oder am besten gleich mit WINSCP.

Datei 1: cccam-signature.conf
Code: 
[Definition]
failregex = CCcam: kick <HOST>, signature failed
ignoreregex =

Datei2: cccam-login.conf
Code: 
[Definition]
failregex = CCcam: double login .*, .* \(<HOST>\)
ignoreregex =

Datei 3: cccam-command.conf
Code: 
[Definition]
failregex = CCcam: kick <HOST>.*, bad command
ignoreregex =

Datei 4: cccam-illegal.conf
Code: 
[Definition] 
failregex = CCcam: illegal user .* from <HOST> 
ignoreregex =
Am Ende muss fail2ban noch durchgestartet werden.
Code: 
/etc/init.d/fail2ban restart
Unter << /var/log/fail2ban.log >> seht Ihr die Aktivitäten des Tools.
 
Zuletzt bearbeitet von einem Moderator:
AW: Howto: fail2ban für CCcam installieren

ich bin so frei und mach ein kleines how2 für eine firewall, die man zu fail2ban nebenher laufen lassen kann. hier kann man ein- und ausgehende ports zu bzw. öffnen und gewisse adressen ausperren.

als erstes erstellen wir unsere blackliste. ich verwende hierzu putty

Code: 
touch /usr/local/etc/blacklist.txt
unter /etc/init.d/ legen wir unsere firewall an

Code: 
touch /etc/init.d/firewall
wir vergeben die rechte

Code: 
chmod +x /etc/init.d/firewall
als nächstes passen wir das firewallscript an

Code: 
nano /etc/init.d/firewall
und kopieren folgendes hinein

Code: 
#!/bin/sh

#needed modules
modprobe ip_conntrack_ftp

BLACKLIST=/usr/local/etc/blacklist.txt

#trigger for your ports
IN_ALLOWED_TCP="21 22 25 53 80"
OUT_ALLOWED_TCP="21 22 25 53 80" 
IN_ALLOWED_UDP="53 7878"
OUT_ALLOWED_UDP="53"
IN_ALLOWED_ICMP=" "
OUT_ALLOWED_IMCP=" "

case "$1" in
   start)

      # Stopping IP trap
      /etc/init.d/fail2ban stop
      echo "Stopping fail2ban IP trap ..."

      # Clear iptables
      iptables -F

      #Defaults
      iptables -P INPUT DROP
      iptables -P OUTPUT DROP
      iptables -P FORWARD DROP

      # loopback communication
      iptables -A INPUT -i lo -j ACCEPT
      iptables -A OUTPUT -o lo -j ACCEPT

      # persist on connections
      iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

      # Ban blacklisted IPs
      for x in `grep -v ^# $BLACKLIST | awk '{print $1}'`; do
        echo "Blocking $x..."
        iptables -A INPUT -t filter -s $x -j DROP
      done

      # TCP rules in
      for port in $IN_ALLOWED_TCP; do
        echo "Accepting TCP port $port"
        iptables -A INPUT -t filter -p tcp --dport $port -j ACCEPT
      done

      # TCP rules out
      for port in $OUT_ALLOWED_TCP; do
        echo "Allowing sending over TCP port $port"
        iptables -A OUTPUT -t filter -p tcp --dport $port -j ACCEPT
      done

      # UDP rules in
      for port in $IN_ALLOWED_UDP; do
        echo "Accepting UDP  port $port"
        iptables -A INPUT -t filter -p udp --dport $port -j ACCEPT
      done

      # UDP  rules out
      for port in $OUT_ALLOWED_UDP; do
        echo "Allowing sending over UDP port $port"
        iptables -A OUTPUT -t filter -p udp --dport $port -j ACCEPT
      done

      # ICMP rules in
      for port in $IN_ALLOWED_ICMP; do
        echo "Accepting ICMP  port $port"
        iptables -A INPUT -t filter -p icmp --dport $port -j ACCEPT
      done

      # ICMP rules out
      for port in $OUT_ALLOWED_ICMP; do
        echo "Allowing sending over ICMP port $port"
        iptables -A OUTPUT -t filter -p icmp --dport $port -j ACCEPT
      done

      # Dropping startup requests
      iptables -A INPUT -t filter -p tcp --syn -j DROP

      # Restarting IP trap
      /etc/init.d/fail2ban start
      echo "Fire up IP trap again ..."
      ;;
   stop)
      /etc/init.d/fail2ban stop
      iptables -F
      iptables -P INPUT ACCEPT
      iptables -P OUTPUT ACCEPT
      echo "Warning! Firewall is stopped, server is unprotected now!"
      ;;
   restart)
      $0 stop
      sleep 1
      $0 start
      ;;
      *)
      echo "Usage $0 {start|stop|restart}"
      ;;
esac
hier passen wir die ports an die wir benötigen und ändern sie dementsprechend ab

Code: 
#trigger for your ports
IN_ALLOWED_TCP="12000" -------------> hier den eigenen server listen port angeben bzw. ports die für uns von aussen erreichbar sein sollen
OUT_ALLOWED_TCP="xx xxxxx xxxxx" ----> hier die ports unser sharepartner eigeben, sonst kommt nix an ;=D
IN_ALLOWED_UDP="53 7878"
OUT_ALLOWED_UDP="53"
IN_ALLOWED_ICMP=" "
OUT_ALLOWED_IMCP=" "
so das wars schon fast. jetzt aktivieren wir noch die firewall dass sie beim reboot mit hochfährt

Code: 
cd /etc/init.d
update-rc.d firewall defaults
nach jeder anpassung der firewall genügt ein restart

Code: 
/etc/init.d/firewall restart
das alles wurde von mir auf debian getestet und läuft. man kann in der blacklist ip nummern eintragen, doch bin ich noch nicht so weit gekommen.

special thx to gagi für das firewallscript
 
AW: Howto: fail2ban für CCcam installieren

Hätte jemand einen passenden Filter für die "CCcam-illegal_users.log" ich würde gern die Leute zu mindest temp. aussperren, die meine line nicht löschen.
Des Weiteren hätte ich noch eine Frage zu der deamon.log, die existirt bei mir unter var/log nicht. hab ich irgendwas übersehen/vergessen?

Installiert habe ich damals alles über ipc 9.54
 
AW: Howto: fail2ban für CCcam installieren



Würde ich auch gerne wissen!
Wenn da jemand helfen könnte?
 
AW: Howto: fail2ban für CCcam installieren

Satanos666 schrieb:
EM aber da werden doch auch nicht die illegal Users geblockt oder spinne ich?
Zum Vergrößern anklicken....
stimmt aber jede config ist ja auch erweiterbar
und man kann es ja auch nicht jedem recht machen der eine will das und der andere will das
ps: nicht falsch verstehen ist nur meine meinung
 
AW: Howto: fail2ban für CCcam installieren

Ok, ich selber wüsste aber nicht wie ich den filter schreibe, deswegen frage ich ob jemand bereits einen hätte für mich.
Was kann ich gegen das Problem mit der debug.log machen?
 
AW: Howto: fail2ban für CCcam installieren

hy

also das Firewall script läuft bei mir nicht. Keine Ahnung warum

bei mir kommt das

root@smuso0 /etc/init.d > iptables -L -v
WARNING: Could not open 'kernel/net/netfilter/x_tables.ko': No such file or directory
FATAL: Could not open 'kernel/net/ipv4/netfilter/ip_tables.ko': No such file or directory
iptables v1.4.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.


mfg
 
Zuletzt bearbeitet:
AW: Howto: fail2ban für CCcam installieren

Ich bin jetzt so weit dass ich fail2ban am laufen habe, benötigt man nun noch die Firewall (2.Posting) oder blockt fail2ban schon von Haus aus???

Ich finde es etwas unsinnig Ports direkt zu blockieren, das ist ja ein riesen Aufwand alle Client Ports da einzutragen, da ja jeder was anderes hat.

Mein Server soll alle Ports benutzen können. Der Router sorgt doch dafür dass nur 12000 von aussen an den Server weitergeleitet wird. Also wieso noch Ports explizit am Server blockieren??

Wie würde die Config dann aussehen, läßt man das dann leer oder Stern * ?
 
AW: Howto: fail2ban für CCcam installieren

Code: 
Ich bin jetzt so weit dass ich fail2ban am laufen habe, benötigt man nun noch die Firewall (2.Posting) oder blockt fail2ban schon von Haus aus???
die firewall brauchst du nicht extra fail2ban läuft auch eigenständig

Code: 
Ich finde es etwas unsinnig Ports direkt zu blockieren, das ist ja ein riesen Aufwand alle Client Ports da einzutragen, da ja jeder was anderes hat.
wenn du eh alles über den port 12000 laufen läst dann brauchst du auch nur den dort in die firewall eintragen und einmal 12000 einstellen ist doch nun keine riesen arbeit oder doch ???

Code: 
Mein Server soll alle Ports benutzen können. Der Router sorgt doch dafür dass nur 12000 von aussen an den Server weitergeleitet wird. Also wieso noch Ports explizit am Server blockieren??

warum gibt es bei windows eine firewall und wie kommen trojaner oder viren auf deinen pc??
warum jeden möglichen port nach außen offen lassen und so mehr platz für Angriffe lassen wenn man eh nur mit bestimmten ports arbeitet und so das system ein kleines bisschen sicherer machen kann

Code: 
Wie würde die Config dann aussehen, läßt man das dann leer oder Stern * ?
du musst da schon ports eintragen sonst wir das nichts werden
 
AW: Howto: fail2ban für CCcam installieren

warum kommt es zu so vielen "bad command" bei meinen clienten?
 
AW: Howto: fail2ban für CCcam installieren

frag mal am besten deine clienten
evtl schlechte hardware (reciver,router,netzwerk)
hatte es bei mir auch bei 2 clienten habe da mal die router getauscht gegen eine fritzbox und siehe da kaum noch fehler meldungen
 
AW: Howto: fail2ban für CCcam installieren

Hallo habe auch fail2ban am laufen nur ein kleines Problem was wie folgt aussieht

beim starten von Fail2ban sieht alles gut aus

Code: 
2010-07-27 14:37:01,155 fail2ban.jail : INFO Creating new jail 'cccam'
2010-07-27 14:37:01,155 fail2ban.jail : INFO Jail 'cccam' uses poller
2010-07-27 14:37:01,183 fail2ban.filter : INFO Added logfile = /var/log/syslog
2010-07-27 14:37:01,185 fail2ban.filter : INFO Set maxRetry = 10
2010-07-27 14:37:01,188 fail2ban.filter : INFO Set findtime = 600
2010-07-27 14:37:01,190 fail2ban.actions: INFO Set banTime = 6000
2010-07-27 14:37:01,214 fail2ban.jail : INFO Creating new jail 'ssh-ddos'
2010-07-27 14:37:01,214 fail2ban.jail : INFO Jail 'ssh-ddos' uses poller
2010-07-27 14:37:01,216 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-07-27 14:37:01,218 fail2ban.filter : INFO Set maxRetry = 6
2010-07-27 14:37:01,221 fail2ban.filter : INFO Set findtime = 600
2010-07-27 14:37:01,223 fail2ban.actions: INFO Set banTime = 6000
2010-07-27 14:37:01,241 fail2ban.jail : INFO Creating new jail 'ssh'
2010-07-27 14:37:01,241 fail2ban.jail : INFO Jail 'ssh' uses poller
2010-07-27 14:37:01,244 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2010-07-27 14:37:01,246 fail2ban.filter : INFO Set maxRetry = 6
2010-07-27 14:37:01,249 fail2ban.filter : INFO Set findtime = 600
2010-07-27 14:37:01,251 fail2ban.actions: INFO Set banTime = 6000
2010-07-27 14:37:01,508 fail2ban.jail : INFO Jail 'cccam' started
2010-07-27 14:37:01,511 fail2ban.jail : INFO Jail 'ssh-ddos' started
2010-07-27 14:37:01,541 fail2ban.jail : INFO Jail 'ssh' started

mein "cccam Script" sieht wie folgt aus
Code: 
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#
failregex = xxx CCcam: kick <HOST>, signature failed$
xxx CCcam: kick <HOST>.*, bad command$
xxx CCcam: double login .*, .* \(<HOST>\)$
 
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

eigentlich sollte er ja überprüfen ob es doppelte/falsche Anmeldungen und diese dann bannen

daemon.log
Code: 
Jul 27 15:06:03 SRV-CS CCcam: illegal user xxr from 80.xx.43.xxJul 27 15:06:03 SRV-CS CCcam: deleting client xx.90.43.xx, signature failed
Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xx:3439 0x1810(0x4001)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xx:3439 failure from cache (took 0.0000 seconds)
Jul 27 15:06:03 SRV-CS CCcam: client xx ecm request for handler 0x1bdc0 0x1810(0x4001) sid 0x756a failed (took 0.0003 seconds)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xx:12000 0x1810(0x4001)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xxxx.org:12000 failure from cache (took 0.0000 seconds)
Jul 27 15:06:03 SRV-CS CCcam: client xxx ecm request for handler 0x1bfad 0x1810(0x4001) sid 0x756a failed (took 0.0004 seconds)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm -> xxx:12000 0x1810(0x000)
Jul 27 15:06:03 SRV-CS CCcam: remote ecm <- xx:12000 failure from cache (took 0.0000 seconds)
Jul 27 15:06:03 SRV-CS CCcam: client xxx ecm request for handler 0x1cf8a 0x1810(0x0) sid 0x756a failed (took 0.0003 seconds)
Jul 27 15:06:03 SRV-CS CCcam: new tcp client from 83.xx.70.xx
Jul 27 15:06:04 SRV-CS CCcam: illegal user xx from 83.xx.70.xx
Jul 27 15:06:04 SRV-CS CCcam: deleting client 83.135.70.84, signature failed

Nur wie ihr seht passiert nichts kann man die losg "gesprächiger" machen oder sieht jemand den fehler auf anhieb?

Ich Danke im vorraus
 
AW: Howto: fail2ban für CCcam installieren

failregex = xxx CCcam: kick <HOST>, signature failed$
xxx CCcam: kick <HOST>.*, bad command$
xxx CCcam: double login .*, .* \(<HOST>\)$
Zum Vergrößern anklicken....

behaupte jetzt mal das hier der fehler liegt
was sollen die xxx bedeuten

probier es mal so
Code: 
failregex = CCcam: double login .*, .* \(<HOST>\)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
gelöst Hilfe bei der Konfiguration von OScam für ORF Karten
2
Antworten
16
Aufrufe
1K
ghost0815
T
gelöst Oscam Probleme
Antworten
6
Aufrufe
429
trebeis
T
S
gelöst Anfängerhilfe
2
Antworten
17
Aufrufe
911
nyland
W
gelöst OSCAM ORF Anfänger-Probleme
2
Antworten
24
Aufrufe
3K
tom00tom
B
gelöst Nach Wechsel von OATV 7.3 -> 7.5.1 keine HD Entschlüsselung mehr
2 3
Antworten
35
Aufrufe
1K
Basti16
B
Menü
Anmelden
Registrieren
Für die Nutzung dieser Website sind Cookies erforderlich. Du musst diese akzeptieren, um die Website weiter nutzen zu können. Erfahre mehr…