fail2ban für CCcam installieren

[czutok]

AW: fail2ban für CCcam installieren

ok , jungs und medels , ich bin auch jetzt mit ilegalen user unterwegs die mir langsam auf den sack gehen und ich will sie banen , habe so weit fail2ban instaliert , und configuriert , aber bin mir nicht 100% sicher ob es auch richtig funktioniert

ah so , nutze cccam 2.1.1

hier mal die fail2ban log

Spoiler

2012-11-24 12:11:52,915 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_badcmd
iptables -F fail2ban-cccam_badcmd
iptables -X fail2ban-cccam_badcmd returned 100
2012-11-24 12:11:53,263 fail2ban.jail : INFO Jail 'cccam_badcmd' stopped
2012-11-24 12:11:53,918 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_2login
iptables -F fail2ban-cccam_2login
iptables -X fail2ban-cccam_2login returned 100
2012-11-24 12:11:54,265 fail2ban.jail : INFO Jail 'cccam_2login' stopped
2012-11-24 12:11:54,922 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_sign
iptables -F fail2ban-cccam_sign
iptables -X fail2ban-cccam_sign returned 100
2012-11-24 12:11:54,923 fail2ban.jail : INFO Jail 'cccam_sign' stopped
2012-11-24 12:11:55,924 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_illegal
iptables -F fail2ban-cccam_illegal
iptables -X fail2ban-cccam_illegal returned 100
2012-11-24 12:11:55,925 fail2ban.jail : INFO Jail 'cccam_illegal' stopped
2012-11-24 12:11:56,926 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 100
2012-11-24 12:11:56,927 fail2ban.jail : INFO Jail 'ssh' stopped
2012-11-24 12:11:56,934 fail2ban.server : INFO Exiting Fail2ban
2012-11-24 12:11:58,190 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2012-11-24 12:11:58,193 fail2ban.jail : INFO Creating new jail 'cccam_badcmd'
2012-11-24 12:11:58,193 fail2ban.jail : INFO Jail 'cccam_badcmd' uses poller
2012-11-24 12:11:58,242 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:11:58,245 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:11:58,250 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:11:58,253 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:11:58,282 fail2ban.jail : INFO Creating new jail 'ssh'
2012-11-24 12:11:58,282 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-11-24 12:11:58,286 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-11-24 12:11:58,289 fail2ban.filter : INFO Set maxRetry = 6
2012-11-24 12:11:58,294 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:11:58,297 fail2ban.actions: INFO Set banTime = 600
2012-11-24 12:11:58,495 fail2ban.jail : INFO Creating new jail 'cccam_2login'
2012-11-24 12:11:58,496 fail2ban.jail : INFO Jail 'cccam_2login' uses poller
2012-11-24 12:11:58,499 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:11:58,502 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:11:58,506 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:11:58,509 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:11:58,532 fail2ban.jail : INFO Creating new jail 'cccam_sign'
2012-11-24 12:11:58,533 fail2ban.jail : INFO Jail 'cccam_sign' uses poller
2012-11-24 12:11:58,536 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:11:58,539 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:11:58,543 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:11:58,546 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:11:58,569 fail2ban.jail : INFO Creating new jail 'cccam_illegal'
2012-11-24 12:11:58,570 fail2ban.jail : INFO Jail 'cccam_illegal' uses poller
2012-11-24 12:11:58,573 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:11:58,576 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:11:58,580 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:11:58,583 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:11:58,608 fail2ban.jail : INFO Jail 'cccam_badcmd' started
2012-11-24 12:11:58,617 fail2ban.jail : INFO Jail 'ssh' started
2012-11-24 12:11:58,636 fail2ban.jail : INFO Jail 'cccam_2login' started
2012-11-24 12:11:58,660 fail2ban.jail : INFO Jail 'cccam_sign' started
2012-11-24 12:11:58,677 fail2ban.jail : INFO Jail 'cccam_illegal' started

ergend wie kommen zu viele errors und ich weis nicht ob es auch richtig so ist

wer kann helfen ??

PS.
wie bekomme ich das die fail2ban auch automatisch nach server rebot startet ??

hab server rebot gemacht und 2 dateien wider hergestelt die ich bearbeitet habe und das kommt jetzt heraus

itables -L

Spoiler

root@S-400:~# /etc/init.d/fail2ban restart
* Restarting authentication failure monitor fail2ban [ OK ]
root@S-400:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-cccam_2login tcp -- anywhere anywhere multiport dports 54321
fail2ban-cccam_illegal tcp -- anywhere anywhere multiport dports 54321
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
fail2ban-cccam_sigfail tcp -- anywhere anywhere multiport dports 54321
fail2ban-cccam_badcmd tcp -- anywhere anywhere multiport dports 54321

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-cccam_2login (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-cccam_badcmd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-cccam_illegal (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-cccam_sigfail (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
root@S-400:~#

fail2ban log

Spoiler

2012-11-24 12:32:57,748 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2012-11-24 12:32:57,751 fail2ban.jail : INFO Creating new jail 'cccam_badcmd'
2012-11-24 12:32:57,752 fail2ban.jail : INFO Jail 'cccam_badcmd' uses poller
2012-11-24 12:32:57,799 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:32:57,802 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:32:57,806 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:32:57,809 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:32:57,834 fail2ban.jail : INFO Creating new jail 'cccam_sigfail'
2012-11-24 12:32:57,835 fail2ban.jail : INFO Jail 'cccam_sigfail' uses poller
2012-11-24 12:32:57,839 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:32:57,842 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:32:57,847 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:32:57,850 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:32:57,876 fail2ban.jail : INFO Creating new jail 'ssh'
2012-11-24 12:32:57,877 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-11-24 12:32:57,881 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-11-24 12:32:57,884 fail2ban.filter : INFO Set maxRetry = 6
2012-11-24 12:32:57,889 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:32:57,892 fail2ban.actions: INFO Set banTime = 600
2012-11-24 12:32:58,085 fail2ban.jail : INFO Creating new jail 'cccam_2login'
2012-11-24 12:32:58,086 fail2ban.jail : INFO Jail 'cccam_2login' uses poller
2012-11-24 12:32:58,090 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:32:58,092 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:32:58,096 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:32:58,099 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:32:58,124 fail2ban.jail : INFO Creating new jail 'cccam_illegal'
2012-11-24 12:32:58,124 fail2ban.jail : INFO Jail 'cccam_illegal' uses poller
2012-11-24 12:32:58,128 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-11-24 12:32:58,131 fail2ban.filter : INFO Set maxRetry = 10
2012-11-24 12:32:58,135 fail2ban.filter : INFO Set findtime = 600
2012-11-24 12:32:58,137 fail2ban.actions: INFO Set banTime = 86400
2012-11-24 12:32:58,164 fail2ban.jail : INFO Jail 'cccam_badcmd' started
2012-11-24 12:32:58,173 fail2ban.jail : INFO Jail 'cccam_sigfail' started
2012-11-24 12:32:58,190 fail2ban.jail : INFO Jail 'ssh' started
2012-11-24 12:32:58,209 fail2ban.jail : INFO Jail 'cccam_2login' started
2012-11-24 12:32:58,227 fail2ban.jail : INFO Jail 'cccam_illegal' started

und es pasiert mehr aber nichts

 

[ysimmerath]

AW: fail2ban für CCcam installieren

Nach welcher Anleitung bist vorgegangen
Anleitung Fail2ban KLICK
poste doch dein fail2ban config und ob du IPC benutzt oder immer selbst eingebauter Script


edit://

Zu deinem Fehler habe das

Sie müssen registriert sein, um Links zu sehen.

und Hier gefunden und sollte ein Bug sein

 

[czutok]

hab einfach nur instaliert und so wie hier beschriben alles kopiert

fail2ban + cccam

hab nur den CS port angepast und auf 24 stunden umgeschriben ( aus 1800 auf 86400 )

ich nutze Ubuntu 10.4 , kein IPC

PS.
ich glaube das es entlich funktioniert , binn mir aber immer noch nicht 100% sicher

Spoiler

2012-11-24 13:26:11,415 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2012-11-24 13:26:13,314 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2012-11-24 13:26:13,321 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2012-11-24 13:26:13,342 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2012-11-24 13:26:14,286 fail2ban.filter : INFO Log rotation detected for /var/log/syslog
2012-11-24 13:26:14,322 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2012-11-24 13:26:55,373 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2012-11-24 13:27:21,123 fail2ban.actions: WARNING [cccam_sigfail] Ban 87.xxx.xxx.126
2012-11-24 13:27:21,137 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-cccam_sigfail returned 100
2012-11-24 13:27:21,138 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-11-24 13:27:21,162 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_sigfail
iptables -F fail2ban-cccam_sigfail
iptables -X fail2ban-cccam_sigfail returned 100
2012-11-24 13:28:01,265 fail2ban.actions: WARNING [cccam_sigfail] Ban 88.xx.xxx.46
2012-11-24 13:28:08,302 fail2ban.actions: WARNING [cccam_sigfail] Ban 77.xx.xx.170
2012-11-24 13:28:09,333 fail2ban.actions: WARNING [cccam_sigfail] Ban 178.xx.xx.238
2012-11-24 13:28:09,361 fail2ban.actions: WARNING [cccam_sigfail] Ban 213.xx.xx.106
2012-11-24 13:29:08,468 fail2ban.actions: WARNING [cccam_sigfail] Ban 178.xx.xx.195

was mich noch interesiert ist , wieso da noch so viele errors stehen ??

hab noch ne frage an die fail2ban spezialisten , was heisen die abkürzungen ??


filter = cccam-signature -?????
filter = cccam-command - ?????
filter = cccam-login - ????
filter = cccam-illegal - ????

was ist die beste ban zeit ??
standart ist 1800 = 30 minuten

 

[aragorn]

AW: fail2ban für CCcam installieren

die frage wäre wo du das einsetzt: homeserver oder vps?

poste bitte deine jail.conf sowie die filter dateien..


ansonsten würde ich aber raten die user nicht zu löschen sondern einfach nichts mehr frei zugeben (F: user pass 0 0 0 {0:0:0}) denn dann wird dein cccam nicht mehr mit ständigen verbindungs versuchen belästigt


aber deine frage zu den filtern versteh ich jetzt nicht.. was willst du da wissen?

und die bantime hängt davon ab wie lange du sie sperren willst, wobei mehr als 24h ist i.d.r. übertrieben da die meisten clients eh alle 24h eine neue ip haben..

 

[czutok]

AW: fail2ban für CCcam installieren

das ganze ist auf einem homeserver

wenn ich das eintrage - F: user pass 0 0 0 {0:0:0} , werde ich die clienten NIE los , weil sie sehen werden das der server weiter online ist

das fail2ban funktioniert so weit , es werden klienten gebant für 12 stunden ( hab von 24 auf 12 umgeschriben ) , das ist schon ok - filter = cccam-illegal oder filter = cccam-signature

ein kleines nachteil hat das ganze aber schon - es kommen 10 falsche anfragen - client wird gespert - filter = cccam-command

ich weis ich kann die sperzeit einstellen

es werden aber auch user gespert , die nicht gespert werden solen , und das macht mir ein wenig sorgen

ich lase es erstmal test weise laufen , wenn sich da meine clienten beschweren das sie alles dunkel haben , lösche ich die fail2ban und werde einfach neue dyndns und cs port machen

blöd ist fail2ban nicht , blos es funktioniert nicht so wie ich es gerne haben will ( warschanlich einstelungs sache )

 

[aragorn]

AW: fail2ban für CCcam installieren

wenn ich das eintrage - F: user pass 0 0 0 {0:0:0} , werde ich die clienten NIE los , weil sie sehen werden das der server weiter online ist

und? sie kriegen aber keine karten also kann dir das doch egal sein? hauptsache dein cccam wird nicht jedesmal, sobald die clients ne neue ip haben, belastet indem die sich 3x versuchen zu verbinden bevor fail2ban reagiert.. denn wenn das mehr als nur eine handvoll clients sind kann dadurch cccam crashen

wenn der client blöd is und sich zum beispiel alle 10min neu einwählt weil er denkt dadurch wieder karten von dir kriegen zu können, kann er sich trotz fail2ban's alle 10min neu anmelden und nervt somit ständig dein cccam..
wenn du aber einfach nur zwar die F-line stehen lässt aber keinerlei karten freigibst, bleibt der client connectet bis er sein 24h disconnect hat..

das fail2ban funktioniert so weit , es werden klienten gebant für 12 stunden ( hab von 24 auf 12 umgeschriben ) , das ist schon ok - filter = cccam-illegal oder filter = cccam-signature

oben gab es aber doch fehlermeldungen? return 100 bedeutet eigentlich das es ein fehler bei der anwendung der iptables zeile gab..

signature ist aber auch überflüssig, wenn du mal aufs cccam log achtest kommt sowohl bei "illegal" als auch bei "bad command" oder "login" anschliesend eine "siganture" ausgabe..

ein kleines nachteil hat das ganze aber schon - es kommen 10 falsche anfragen - client wird gespert - filter = cccam-command

das kann nicht sein denn der "command" filter reagiert nur auf log einträge die "bad command" beinhalten.. also entweder deine clients verursachen jedesmal auch ein "bad command" oder du hast an den filtern herrum gespielt..

ansonsten, wenn du das nicht brauchst dann entfern halt den "command" filter?

es werden aber auch user gespert , die nicht gespert werden solen , und das macht mir ein wenig sorgen

ohne genauere details kann ich dazu nichts sagen..
du könntest aber vielleicht versuchen die user zur ignoreregex zeile hinzuzufügen..

blöd ist fail2ban nicht , blos es funktioniert nicht so wie ich es gerne haben will ( warschanlich einstelungs sache )

das is ne reine einstellungs sache passend für deine situation aber ohne genauere details zu kennen, möchte ich da nicht gross ausholen und ein roman drüber schreiben wenn dann eh nurn bruchteil für dich interessant wär, aber welcher das ist kann ich nicht beurteilen zumal ich deine situation und konfiguration nicht kenne..

 

[Sumatrabarbe]

AW: fail2ban für CCcam installieren

Hallo,

habe mir das f2b jetzt auch mal für oscam/cccam eingerichtet. Eine Frage habe ich dazu aber noch... Wenn ich in der oscam.conf als logfile /var/log/oscam.log angegeben habe, muss ich das in der jail.conf für die [cccam-...] Filter auch einstellen, oder landen diese cccam errors unter syslog, so wie in den Beispielen weiter oben? Und muss ich ein bestimmtes Debug-lvl in oscam einstellen?

 

[aragorn]

AW: fail2ban für CCcam installieren

wie du an deiner frage merken solltest, möchtest du für oscam die [cccam] jail einträge anpassen.. du würfelst es also fatalerweise wild durcheinander

für oscam brauch man kein fail2ban da oscam ein eigenes feature dafür hat: failban

nur die jail einträge anzupassen reicht natürlich nicht, fail2ban durchsucht das logfile nach den einträgen wie sie im filter eingestellt wird..

 

[Sumatrabarbe]

AW: fail2ban für CCcam installieren

ahhh ok.. also für oscam das interne failban nutzen.. danke für die info!

 

[czutok]

AW: fail2ban für CCcam installieren

ist es möglich die jail so zu bearbeiten das ich manuel vorgeben kann wer bei erstem kontakt sofort geblokt werden soll

wenn ich fail2ban einschalte funktioniert es auch , es blokt die user für die eingestelte zeit , aber das problem ligt daran das es auch die user blokt , die nicht geblokt werden solten

bitte an die fail2ban spezialisten:

wie soll der eintrag mit dem USERNAMEN auschauen , der sofort bei erstem kontakt geblokt wird , am besten für immer

das mit der ip ist auch ok , aber wie bereits geschriben , es werden auch user blokiert die nicht blokiert werden sollen

 

[aragorn]

AW: fail2ban für CCcam installieren

aber das problem ligt daran das es auch die user blokt , die nicht geblokt werden solten

fail2ban macht nichts selbstständig sondern nur das was du konfiguriert hast..
wie ich dir bereits schonmal versucht habe zu erklären liegt vermutlich dein problem bei der kombination der filter für cccam.. da du eigentlich nur "illegal user" blocken möchtest, solltest du auch nur diesen filter verwenden.. du hast aber soweit ich weiss auch noch "bad command" und "signature failed" eingestellt..

wenn du mal ins cccam log guckst, zu einem zeitpunkt wo jmd gesperrt wurde, müsste dir auffallen das nach einer "bad command" meldung auch ein "siganture failed" kommt. genauso nach einem "illegal user" kommt ebenfalls ein "signature failed" usw..

ausserdem hast du vermutlich clients, die "bad commands" verursachen und aufgrund dessen werden sie dann von fail2ban gesperrt, weil du das eben so eingestellt hast das fail2ban auf diese logeinträge über die filter reagieren soll


nochmal erneut die funktionsweise von fail2ban: in der jail wird ua. eingestellt welches logfile (logpath) fail2ban überwachen soll. über den filter wird eingestellt, was in dem logfile stehen soll auf dass fail2ban dann reagiert..

wie soll der eintrag mit dem USERNAMEN auschauen , der sofort bei erstem kontakt geblokt wird , am besten für immer

wie du anhand der funktionsweise erkennen kannst, durchsucht fail2ban die letzten einträge des eingestellten logfiles, nach den regex zeilen wie sie im filter eingestellt wurden

wie die filter konfiguriert werden können, kann man hier nachlesen:

Sie müssen registriert sein, um Links zu sehen.

regex bedeutet: regular expressions

die regex zeile für den "illegal user" sieht dabei so aus:

CCcam: illegal user .* from <HOST>

<HOST> ist hierbei ein platzhalter, darüber wird fail2ban mitgeteilt in welcher spalte der zeile die host steht die es sperren soll..
das " .* " ist wie ein " * " also ein,kein,oder mehrere beliebige zeichen - die zeile matched also sowohl auf "CCcam: illegal user czutok from <HOST>" als auch auf CCcam: illegal user aragorn from <HOST>" usw

aber nun jedesmal in den filter die einzelnen logins ein zu tragen finde ich übertrieben, wer macht das schon..

konfigurier lieber dein fail2ban vernünftig wie ich dir glaub ich schon mehrmals versucht habe zu erklären (hab dir oben auch eine alternative genannt die nicht ständig dein cccam belastet denn trotz fail2ban's wird cccam weiterhin mit den loginversuchen spätestens nach 24h gestört)

das mit der ip ist auch ok , aber wie bereits geschriben , es werden auch user blokiert die nicht blokiert werden sollen

siehe oben.. von nichts kommt nichts.. wenn du fail2ban vernünftig konfigrierst sperrt fail2ban auch nur die clients die "illegal user" logeinträge verursachen..

 

[czutok]

AW: fail2ban für CCcam installieren

das ist alles was ich eingetragen habe

Spoiler

[cccam_sigfail]
enabled = true
port = 54321
filter = cccam-signature
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

[cccam_badcmd]
enabled = true
port = 54321
filter = cccam-command
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

[cccam_2login]
enabled = true
port = 54321
filter = cccam-login
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

[cccam_illegal]
enabled = true
port = 54321
filter = cccam-illegal
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

danke dür den link wie man es machen soll , aber linux und englisch sind 2 sachen die ich nicht 100% behersche

 

[aragorn]

AW: fail2ban für CCcam installieren

wie ich bereits mehrmals geschrieben habe und oben auch versucht habe ausführlicher zu beschreiben, hast du viel zu viele filter eingestellt

die clients, die du gelöscht hast verursachen " illegal user " logeinträge

alles andere sorgt dafür das auch nicht-gelöschte user ausgesperrt werden.. da du das aber nicht möchtest, wieso benutzt du dann aber die filter?

 

[czutok]

AW: fail2ban für CCcam installieren

fail2ban log

Spoiler

2012-12-01 17:19:32,823 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2012-12-01 17:19:32,826 fail2ban.jail : INFO Creating new jail 'cccam_badcmd'
2012-12-01 17:19:32,826 fail2ban.jail : INFO Jail 'cccam_badcmd' uses poller
2012-12-01 17:19:32,881 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-12-01 17:19:32,884 fail2ban.filter : INFO Set maxRetry = 10
2012-12-01 17:19:32,888 fail2ban.filter : INFO Set findtime = 600
2012-12-01 17:19:32,891 fail2ban.actions: INFO Set banTime = 43200
2012-12-01 17:19:32,922 fail2ban.jail : INFO Creating new jail 'cccam_sigfail'
2012-12-01 17:19:32,922 fail2ban.jail : INFO Jail 'cccam_sigfail' uses poller
2012-12-01 17:19:32,926 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-12-01 17:19:32,929 fail2ban.filter : INFO Set maxRetry = 10
2012-12-01 17:19:32,937 fail2ban.filter : INFO Set findtime = 600
2012-12-01 17:19:32,940 fail2ban.actions: INFO Set banTime = 43200
2012-12-01 17:19:32,969 fail2ban.jail : INFO Creating new jail 'ssh'
2012-12-01 17:19:32,969 fail2ban.jail : INFO Jail 'ssh' uses poller
2012-12-01 17:19:32,974 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2012-12-01 17:19:32,977 fail2ban.filter : INFO Set maxRetry = 6
2012-12-01 17:19:32,982 fail2ban.filter : INFO Set findtime = 600
2012-12-01 17:19:32,985 fail2ban.actions: INFO Set banTime = 600
2012-12-01 17:19:33,175 fail2ban.jail : INFO Creating new jail 'cccam_2login'
2012-12-01 17:19:33,176 fail2ban.jail : INFO Jail 'cccam_2login' uses poller
2012-12-01 17:19:33,179 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-12-01 17:19:33,182 fail2ban.filter : INFO Set maxRetry = 10
2012-12-01 17:19:33,187 fail2ban.filter : INFO Set findtime = 600
2012-12-01 17:19:33,189 fail2ban.actions: INFO Set banTime = 43200
2012-12-01 17:19:33,213 fail2ban.jail : INFO Creating new jail 'cccam_illegal'
2012-12-01 17:19:33,213 fail2ban.jail : INFO Jail 'cccam_illegal' uses poller
2012-12-01 17:19:33,217 fail2ban.filter : INFO Added logfile = /var/log/syslog
2012-12-01 17:19:33,220 fail2ban.filter : INFO Set maxRetry = 10
2012-12-01 17:19:33,224 fail2ban.filter : INFO Set findtime = 600
2012-12-01 17:19:33,227 fail2ban.actions: INFO Set banTime = 43200
2012-12-01 17:19:33,252 fail2ban.jail : INFO Jail 'cccam_badcmd' started
2012-12-01 17:19:33,262 fail2ban.jail : INFO Jail 'cccam_sigfail' started
2012-12-01 17:19:33,272 fail2ban.jail : INFO Jail 'ssh' started
2012-12-01 17:19:33,285 fail2ban.jail : INFO Jail 'cccam_2login' started
2012-12-01 17:19:33,311 fail2ban.jail : INFO Jail 'cccam_illegal' started
2012-12-01 17:19:33,503 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 200
2012-12-01 17:19:33,506 fail2ban.actions.action: ERROR iptables -N fail2ban-cccam_illegal
iptables -A fail2ban-cccam_illegal -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_illegal returned 200
2012-12-01 17:19:33,548 fail2ban.actions.action: ERROR iptables -N fail2ban-cccam_2login
iptables -A fail2ban-cccam_2login -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_2login returned 200
2012-12-01 17:19:33,557 fail2ban.actions.action: ERROR iptables -N fail2ban-cccam_sigfail
iptables -A fail2ban-cccam_sigfail -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_sigfail returned 200
2012-12-01 17:21:14,671 fail2ban.actions: WARNING [cccam_sigfail] Ban 91xxxxx.56
2012-12-01 17:21:14,699 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-cccam_sigfail returned 100
2012-12-01 17:21:14,700 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-12-01 17:21:14,736 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports 54321 -j fail2ban-cccam_sigfail
iptables -F fail2ban-cccam_sigfail
iptables -X fail2ban-cccam_sigfail returned 100
2012-12-01 17:21:14,800 fail2ban.actions: WARNING [cccam_sigfail] Ban 213.xxxxx.106
2012-12-01 17:21:14,836 fail2ban.actions: WARNING [cccam_sigfail] Ban 77.xxxxx.55
2012-12-01 17:21:23,882 fail2ban.actions: WARNING [cccam_sigfail] Ban 178.xxxxx.238

jail.conf.

Spoiler

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
# provided now under /usr/share/doc/fail2ban/examples/jail.conf
# for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime = 600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port = anyport
logpath = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled = false
filter = xinetd-fail
port = all
banaction = iptables-multiport-log
logpath = /var/log/daemon.log
maxretry = 2


[ssh-ddos]

enabled = false
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled = false
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-noscript]

enabled = false
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = vsftpd
logpath = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled = false
port = ftp,ftp-data,ftps,ftps-data
filter = wuftpd
logpath = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled = false
port = smtp,ssmtp
filter = postfix
logpath = /var/log/mail.log


[couriersmtp]

enabled = false
port = smtp,ssmtp
filter = couriersmtp
logpath = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = courierlogin
logpath = /var/log/mail.log


[sasl]

enabled = false
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See

Sie müssen registriert sein, um Links zu sehen.

logpath = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
# channel security_file {
# file "/var/log/named/security.log" versions 3 size 30m;
# severity dynamic;
# print-time yes;
# };
# category security {
# security_file;
# };
# };
#
# in your named.conf to provide proper logging

# Word of Caution:
# Given filter can lead to DoS attack against your DNS server
# since there is no way to assure that UDP packets come from the
# real source IP
[named-refused-udp]

enabled = false
port = domain,953
protocol = udp
filter = named-refused
logpath = /var/log/named/security.log

[named-refused-tcp]

enabled = false
port = domain,953
protocol = tcp
filter = named-refused
logpath = /var/log/named/security.log





[cccam_sigfail]
enabled = true
port = 54321
filter = cccam-signature
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

[cccam_badcmd]
enabled = true
port = 54321
filter = cccam-command
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

[cccam_2login]
enabled = true
port = 54321
filter = cccam-login
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

[cccam_illegal]
enabled = true
port = 54321
filter = cccam-illegal
logpath = /var/log/syslog
bantime = 43200
maxretry = 10

das teil funzt super , blos was sind wider die errors ??
man o man ich werde langsam warnsinig

ich nutze die filte die alle hier eingetragen haben

zeig mir ein anderen dann schmeise ich die weg und werde dann ein einzigen nutzen , hauptsache er spert mir die user die ich da manuel eintrage

 

[aragorn]

AW: fail2ban für CCcam installieren

oh man, das is echt ne schande das so jemand wie du nen "community server" betreibt wenn du nicht mals mit den einfachsten dingen zurecht kommst


darf ich das jetzt noch 5x wiederholen bis du es verstanden hast?



du möchtest dass fail2ban "illegal user" sperrt, korrekt?
du möchtest aber nicht dass fail2ban nicht-gelöschte user sperrt, korrekt? (also user die nicht gelöscht wurden sollen nicht gesperrt werden)


du hast aber _alle_ filter konfiguriert die es für cccam gibt, also nicht nur "illegal user" sondern auch die anderen


wenn du jetzt in dein /var/log/syslog guckst und beobachtest welche user, welche logmeldungen verursachen, sollte dir irgendwann mal auffallen das auch nicht-gelöschte user sowas wie "signature failed" oder "bad command" verursachen.. machen sie das 10x werden sie von fail2ban gesperrt - weil Du das so eingestellt hast

wenn Du das aber nicht möchtest, dann schmeiss den verdammten filter raus!