Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

fail2ban

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
Eine neue Version des OnlineScripts fail2ban.sh ist jetzt verfügbar...


Bei jedem ausführen des Scripts kann man die einzelnen Filter für
bad command , signature failed , double login , illegal user
ein oder aus schalten


Wechselt man die CCcam Version zb von 2.1.1 auf 2.2.1 so sollte man das fail2ban.sh Script erneut ausführen sodass die Filter entsprechend erneuert werden weil sich das Format (leider) geändert hat

Zum beispiel:
CCcam 2.0.11 -> CCcam: deleting client <HOST>.*, read result -1
CCcam 2.1.1 -> CCcam: deleting client <HOST>.*, bad command
CCcam >2.1.2 -> CCcam: kick <HOST>.*, bad command


/EDIT: Soweit ich es bisher beobachten konnte schreibt CCcam nach "illegal user" auch eine "signature failed" Meldung ins Log, weshalb ich bei mir nun nurnoch "signature failed" an habe da fail2ban ansonsten die gleiche IP 2x ausperrt... (ich nutze aber btw CCcam 2.1.1)
"Bad command" hingegen werden hauptsächlich von den neueren CCcam 2.2.x verursacht und sollten bei Verwendung älterer Server möglichst vermieden werden, ansonsten crasht der CCcam Server evtl. öfter...

...Deshalb gibts jetzt ne Möglichkeit die "Optimalen Filter" installieren zu lassen -> Double Login und Signature failed
 
Zuletzt bearbeitet:

Malak

Hacker
Registriert
16. März 2009
Beiträge
365
Punkte Reaktionen
14
Punkte
18
AW: fail2ban

Wie sollte man die Filter/Skripte am besten setzten? Gibt es da ne Empfehlung? (arbeite das erste mal mit fail2ban)

Und wie kann man testen ob fail2ban richtig arbeitet?
 
OP
OP
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
AW: fail2ban

'illegal user' und 'signature failed' sind glaub ich fast die gleichen - wenns ne illegal user Meldung im Log gibt, kommt danach meistens auch ne signature failed Meldung (wenns für den Benutzer garkeine F-line gibt)

bad command kommt zb vor wenn du dein Client oft nacheinander neu startest o.ä.

double login kommt wenn du dich mit einem Account zwei oder mehrmals verbinden willst


Das muss aber 10x nacheinander passieren damit fail2ban auch reagiert

Standardmässig ist die Einstellung für alle Filter
maxretry = 10
bantime = 1800 (sekunden, also 1800 / 60 = 30min)

(kann man in der /etc/fail2ban/jail.conf einstellen)



/EDIT: ich habe bei mir nur folgende Filter aktiviert: signature failed , double login , illegal user

bad command kommt bei 2.2.1 clients zb öfter vor und manche meinen auch das da nochn bug drin wär etc
 
Zuletzt bearbeitet:

smargocs

Newbie
Registriert
15. Januar 2011
Beiträge
5
Punkte Reaktionen
4
Punkte
3
AW: fail2ban

ich finde bad command sollte man nicht nutzen.

das kommt unter den unterschiedlichen cccam versionen ziemlich oft vor. auch wenn jemand ein nicht cccam client nutzt sollte man bad command nicht nutzen.
 

Malak

Hacker
Registriert
16. März 2009
Beiträge
365
Punkte Reaktionen
14
Punkte
18
AW: fail2ban

@faissmaik

maxretry = Fehlversuche die erlaubt sind, bevor die IP gebannt wird

Wie werden die Fehlversuche z.b. beim 2login gezählt?


Gibt es ne Möglichkeit die Restzeit der Bandauer herauszufinden, ohne dies selber auszurechen (Zeitpunkt Ban + bantime)?
 
OP
OP
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
AW: fail2ban

zu 1) sobald der filter zutrifft wird gezählt.. dh einer logged sind ein - oke... logged sich noch einer mit den gleichen daten ein und produziert einen double-login -> erster retry...

und zum 2) nein... wozu?
standardmässig sind 1800sekunden eingestellt also 30min...
warum willst du ausrechnen wielange noch jmd gebanned is?


/EDIT: Ich hab das fail2ban.sh Script nochmals aktuallisiert... Jetzt gibts ne Möglichkeit die "Optimalen Filter" installieren zu lassen -> Double Login und Signature failed
 
Zuletzt bearbeitet:
OP
OP
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
AW: fail2ban

Was hast du denn sonst noch gemacht?
irgendwelche datein selber angepasst oder so?
und führst das auch als root aus?


der führt da nur den befehl /etc/init.d/fail2ban restart aus... dh da gibts nen prob mit

guck halt mal in dein fail2ban.log
 
OP
OP
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
AW: fail2ban

das sagt aber nichts darüber aus wieso /etc/init.d/fail2ban restart nicht funzt... (gib die zeilen mal manuell ein, dann kommt ne detailiertere fehlermeldung)

hast du denn nun irgendwas selber noch eingestellt oder hast du wirklich ausschlieslich das fail2ban script ausgeführt?

haste vllt mehrer CCcams laufen als von IPC vorgehesen? (sowas wird nämlich nicht supportet und wird es auch nie...)

geht denn überhaupt /etc/init.d/fail2ban start ?
 

Satanos666

Stamm User
Registriert
13. Mai 2009
Beiträge
1.200
Punkte Reaktionen
234
Punkte
223
AW: fail2ban

Du musst dich Anmelden oder Registrieren to view quote content!
da kommt nur das besagte:
Code:
Du musst dich Anmelden oder Registrieren to view codes content!
Du musst dich Anmelden oder Registrieren to view quote content!
nein, nur das script, aber es war zuvor ipc 10.2 drauf hab dann mit neuer url geupdatet
Du musst dich Anmelden oder Registrieren to view quote content!
nein es läuft nur eine cccam
 
OP
OP
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
AW: fail2ban

was sagt: /etc/init.d/fail2ban status
und was kommt denn nun bei: /etc/init.d/fail2ban start ?

kA was bei dir das Prob sein könnte - ohne mehr infos kann ich das nicht wirklich nachvollziehen - hier funzt es 1a
 
OP
OP
F

feissmaik

Elite User
Registriert
21. November 2010
Beiträge
1.646
Punkte Reaktionen
513
Punkte
113
Ort
FarFarAway
AW: fail2ban

dann ist das fail2ban kaputt... was natürlich extrem seltsam wäre wenn es gerade erst installiert wurde....dann muss an deinem System allg. was nicht i.O. sein aber kA... soll ich drauf losraten? dann installier lieber komplett neu....
 
Oben