fail2ban für CCcam installieren

[Matze1403]

AW: Howto: fail2ban für CCcam installieren

Und wie sieht es aus, wenn du einen Ressi reshare gibst und den anderen dran hängst! :emoticon-0105-wink:

Daran hatte ich auch schon gedacht, das Problem ist nur die Receiver sind ein Opticum 9600 und ein Medi@ Black Panther...mit denen wird das wohl nicht funktionieren. Die haben doch nur das "Fake-CCcam"

 

[RoterBaron]

AW: Howto: fail2ban für CCcam installieren

...ich will ja nix sagen aber fail2ban reagiert nur entsprechend der Filter-rules...


dh wenn du einen cccam_2login Filter benutzt wo drin steht

failregex = CCcam: client .* already connected, remove stale connection \(<HOST>\)

und fail2ban findet eine solche Zeile im Logfile, nur dann führt er die entsprechende Aktion aus...

Dh normalerweise sperrt fail2ban niemanden einfach so aus - normalerweise gibts aber auch keine Filter die die IP beachten sondern eigentlich beachtet selbst CCcam nur den Benutzernamen+Password


Was ich also eher vermute ist, dass du ein und den selben Benutzernamen doppelt vergeben hast - aber 2x der gleiche Benutzer wird von CCcam als "double login" bewertet und der ältere Client gekickt.... Sowas schreibt CCcam dann auch ins LOG und erst darauf reagiert fail2ban wenn denn auch eine solche filter-rule eingestellt is...

fail2ban geht nicht alleine daher und guckt in irgendwelche logs und sperrt dann einfach so ne ip die doppelt verbunden is - das ist bullshit


OB das CCcam or whatever funtzen wird hat mit fail2ban zunächst nichts zu tun - am besten du machst fail2ban mal aus und testest es dann mal - und wie gesagt, Pro vergebene Cline auch einen seperaten und eigenen Benutzer anlegen ansonsten kicken die sich gegenseitig... Das mag vllt ohne fail2ban mal funktioniert haben aber dann hattet ihr wohl nur glück das ihr keine ruckler/freezer gekriegt habt



PS: bei DynamischerIP soll ne DynamischeDNS helfen, hab ich mal irgendwo gelesen...

 

[Matze1403]

AW: Howto: fail2ban für CCcam installieren

hab ich ja schon probiert, sobald ich fail2ban gestoppt hab funktioniert es wunderbar, also am cccam liegt es definitiv nicht! Meinen Eltern habe ich auch 2 Lines eingerichtet. Die Boxen sind auch von mir konfiguriert worden.

 

[RoterBaron]

AW: Howto: fail2ban für CCcam installieren

Wie gesagt - fail2ban macht nur das wofür es eingestellt wurde...

Wenn du also vllt so freundlich wärst deine fail2ban jail.conf und jeweiligen Filter mal zu posten sodass man das kontrollieren könnte?


Wenn im CCcam log drin steht "double login" UND du einen fail2ban Filter hast der darauf reagieren soll - erst dann macht fail2ban auch das, was in der jail.conf eingestellt wurde (zb für 3600 sekunden die ip sperren)

Gibt es keinen passenden Logeintrag von CCcam, dann sperrt fail2ban auch nicht einfachso irgendwelche IPs...
...Auch nicht wenn du dich gleichzeitig mit 10 verschiedenen(!) Clients von ein und der selben IP verbinden würdest - das ist ebenso bullshit...
Die Clientsoft hat mit dem verhalten des CCcam-Servers auch nicht wirklich viel gemein - es sein denn sie produziern haufenweise BadCommands worauf auch irgendne fail2ban rule drauf anspringt...

 

[Matze1403]

AW: Howto: fail2ban für CCcam installieren

klar kein Problem...danke schon mal im voraus

jail.conf

Spoiler

Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled = false
filter = xinetd-fail
port = all
banaction = iptables-multiport-log
logpath = /var/log/daemon.log
maxretry = 2


[ssh-ddos]

enabled = false
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-noscript]

enabled = false
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled = false
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log


[couriersmtp]

enabled = false
port = smtp,ssmtp
filter = couriersmtp
logpath = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log


[sasl]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See

Sie müssen registriert sein, um Links zu sehen.

logpath = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
# channel security_file {
# file "/var/log/named/security.log" versions 3 size 30m;
# severity dynamic;
# print-time yes;
# };
# category security {
# security_file;
# };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
# Since UDP is connectionless protocol, spoofing of IP and immitation
# of illegal actions is way too simple. Thus enabling of this filter
# might provide an easy way for implementing a DoS against a chosen
# victim. See
#

Sie müssen registriert sein, um Links zu sehen.

# Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled = false
#port = domain,953
#protocol = udp
#filter = named-refused
#logpath = /var/log/named/security.log

[named-refused-tcp]

enabled = false
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log




[cccam_sign]
enabled = true
port = 23000
filter = cccam-signature
logpath = /var/log/syslog
bantime = 1800
maxretry = 10
[cccam_badcmd]
enabled = false
port = 23000
filter = cccam-command
logpath = /var/log/syslog
bantime = 1800
maxretry = 10
[cccam_2login]
enabled = true
port = 23000
filter = cccam-login
logpath = /var/log/syslog
bantime = 1800
maxretry = 10
[cccam_illegal]
enabled = false
port = 23000
filter = cccam-illegal
logpath = /var/log/syslog
bantime = 1800
maxretry = 10

cccam-command.conf, cccam-login.conf & cccam-signature.conf. sehen alle gleich aus

Spoiler

[Definition]
failregex = CCcam: kick <HOST>.*, bad command
ignoreregex =

Wenn noch was fehlt einfach bescheid sagen

 

[RoterBaron]

AW: Howto: fail2ban für CCcam installieren

cccam-command.conf, cccam-login.conf & cccam-signature.conf. sehen alle gleich aus

Genau das kann/darf aber nicht sein - die failregex Zeile muss sich unterscheiden - das sind unterschiedliche Files für unterschiedliche Filter!


Kommt aber auch darauf an welche CCcam Version du benutzt und ob du die vielleicht zwischenzeitlich gewechselt hast ohne fail2ban erneut zu konfgurieren...

 

[Matze1403]

AW: Howto: fail2ban für CCcam installieren

Danke werd es bei gelegenheit mal probieren. Der zweite Reci ist leider grad defekt

 

[Matze1403]

AW: Howto: fail2ban für CCcam installieren

kurze Rückmeldung...hab die config`s wie im ersten Beitrag angepasst, jetzt funzt alles. Vielen ank für die Hilfe

 

[uludag16]

AW: Howto: fail2ban für CCcam installieren

2011-08-21 03:52:38,246 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2011-08-21 03:52:38,247 fail2ban.jail : INFO Creating new jail 'ssh'
2011-08-21 03:52:38,247 fail2ban.jail : INFO Jail 'ssh' uses poller
2011-08-21 03:52:38,306 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2011-08-21 03:52:38,307 fail2ban.filter : INFO Set maxRetry = 6
2011-08-21 03:52:38,309 fail2ban.filter : INFO Set findtime = 600
2011-08-21 03:52:38,310 fail2ban.actions: INFO Set banTime = 600
2011-08-21 03:52:38,393 fail2ban.jail : INFO Jail 'ssh' started
2011-08-21 03:53:12,465 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100

im failban.log kommt
diese fehlermeldung
was hat des in sich !!!!!!!

 

[RoterBaron]

AW: Howto: fail2ban für CCcam installieren

kommt das jetzt auf einmal!!!!! (?)


gib die Zeile mal selber ein um evtl. zu sehen was die genaue Fehlermeldung is

 

[uludag16]

AW: Howto: fail2ban für CCcam installieren

Hier mein fail2bain
Es sollte aber die Fline vorhanden seien,die man kicken will


Ist beste lösung meines tests

F: user passwort 0 0 0 { 0:0:0 } { } { }

habe im logs nachgeschaut alle die ich verbannt habe,
waren im log nicht mehr aufgetaucht.
Die werden irgendwann selber die c line löschen, weil es für immer dunkel bleibt.

 

[RoterBaron]

AW: Howto: fail2ban für CCcam installieren

ähm könntest du dir vllt zumindest ein bischen mühe mit deinen Posts geben und Lesbar schreiben?
Wenn der Satz ne Frage sein soll dann formulier diesesn Satz auch entsprechend und nutze gewisse Satzzeichen die diesen Satz auch als Frage "auszeichnen"


Wenn du noch eine gültige F-line in der CCcam.cfg hast dann ist fail2ban bezüglich "llegal user" völlig nutzlos weil CCcam niemalsnie eine solche Meldung ins Log ausgeben wird worauf fail2ban anspringen würde...

Les dir mal bitte die letzten Seiten hier durch - Was fail2ban ist und was es macht bzw worauf es achtet und reagiert....




wenn ihr hier pazig schreibt "eh, wieso geht der dreck nicht!!!!!" dann wundert euch bitte nicht wenn ihr darauf auch pazige antworten kriegt

 

[uludag16]

AW: Howto: fail2ban für CCcam installieren

Möchte hier keine diskusion entfachen aber was von mir geschrieben wurde ist klar und verständlich.
Möchte im board mich auch nützlich machen !!!!!!

 

[RoterBaron]

AW: Howto: fail2ban für CCcam installieren

ich verstehe deine vorherigen posts jedenfals nicht....
bei dem letzten haste dir aber auch merklich mehr mühe gegeben als bei den anderen

oder muss ich dir jetzt posten wo du anstatt fragezeichen, ausrufezeichen prellst? ich denke doch mal das Du wie jeder andere auch die jeweilige Seiten durchblättern kann und da Du der Autor Deiner posts bist (nehm ich mal stark an) solte Dir auch bekannt sein was Du geschrieben hast......


Also wenn du FRAGEN hast dann stell diease auch als solche



PS: Wenn du den Post um 12:36Uhr tätigst und um 21:08Uhr bearbeitest und DANACH schreibst dass du in deinen posts leserlich geschrieben hättest - meinste nicht das dass ein kleines bischen auffallen könnte?

 

[horstM]

AW: Howto: fail2ban für CCcam installieren

Hallo,

ich hätte mal folgende Frage:

Habe auf meinem System Debian / Ipc / Alix3D3 nur oscam (ipc) eingerichtet.
Alle Clienten verbinden sich entweder mit oscam oder haben auf ihrem Receiver cccam laufen.

Ist es nun sinnvoll fail2ban zu installieren - ja oder nein ?
Oder ist dies nur gedacht wenn auch cccam auf z.B. bei ipc eingerichtet ist ?


danke

gruß