Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

[Osprey]

Hallo zusammen,

kennt Ihr das, das jemand versucht sich auf euren Server zu schalten, obwohl Ihr nochnie so ein account erstellt habt?
Ich habe seit 1 Woche das im Log stehen :

Spoiler

2012/06/29 9:30:04 158E015 c cccam: new connection from 9x.x8.x6.1xx
2012/06/29 9:30:04 158E015 c send ccc checksum
2012/06/29 9:30:04 158E015 c receive ccc checksum
2012/06/29 9:30:04 158E015 c ccc username received nervensäge
2012/06/29 9:30:04 158E015 c ccc passwdhash received nervensäge
2012/06/29 9:30:04 158E015 c encrypted cccam-client 9x.x8.x6.1xx rejected (invalid access)
2012/06/29 9:30:04 158E015 c account 'nervensäge' not found!
2012/06/29 9:30:04 158E015 c cccam: failed ret: -2
2012/06/29 9:30:04 158E015 c anonymous disconnected from 9x.x8.x6.1xx
2012/06/29 9:30:04 158E015 c thread 158E015 ended!
2012/06/29 9:30:05 158E015 c exit cccam1/3
2012/06/29 9:30:05 158E015 c exit cccam2/3
2012/06/29 9:30:05 158E015 c exit cccam3/3
2012/06/29 9:30:06 2009 p select: socket is set

Und das ganze wiederholt sich. Die ip ist von der Telekom und ändert sich jeden Tag.
Gibt es eine Lösung dafür den Burschen :emoticon-0146-punch ?

LG
Osprey

 

[Kermit]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Hi,

irgendwie ist der nette Zeitgenosse an deine Daten ran gekommen. Hast du dich in letzter Zeit womöglich im unfrieden von einem deiner Clients getrennt?
Wenn du nicht rausbekommst, wer dahinter steckt gibt es 4 Möglichkeiten.
Du richtest dir Failbain ein oder besser gesagt du aktivierst es in OScam oder du richtest eine Account ein und gibst dem User eine Dummyreader, so dass er auf keine Daten zugreifen kann.
Weiterhin besteht die Möglichkeit du besorgst dir einen neuen DynDNS Account oder änderst den Port, auf welchem dein System antwortet.

Grüße

Kermit

 

[szonic]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Yo, Failban heist sie.

Dazu mal schauen was Du so an Ports offen hast und diese schliessen, ggf. Port wechseln und/oder die dynadresse.

Grüsse
szonic

Edit:
Froschi war schneller! ;-)

 

[Osprey]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Danke für die schnelle Antwort.
Von meinen Clients habe ich mich nicht getrennt (habe ja nur5 da bleibt das ganze übersichtlich).
Einen Account kann ich garnicht einrichten....oder? Wenn ich nicht weiß welches Passwort der benutzt.

Failban habe ich eingerichtet :

oscam.conf

Spoiler

[global]
serverip = 192.168.2.1
logfile = stdout;/tmp/oscam.log
failbancount = 3
nice = -1
maxlogsize = 128
waitforcards = 0
preferlocalcards = 1
saveinithistory = 1
lb_mode = 1
lb_save = 150

[monitor]
hideclient_to = 15
appendchaninfo = 0

[cccam]
port = 12008
reshare = 2
version = 2.1.4
nodeid =

[webif]
httpport = 8888
httprefresh = 10
httpallowed = 192.168.0.1-192.168.255.255

Sind 3 Fail zuviel?

Gruß

 

[Kermit]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Hi,

ob zuviel oder zuwenig, ich hab einen höheren Wert eintgestellt.
So alleine bringt dir der Parameter aber nichts. Du brauchst auch noch failbantime. Ohne diesen ist Failban nicht aktiviert.

Grüße

Kermit

 

[czutok]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

auf die schnelle die dyn dns adrese endern , dann router neustarten damit er auch ne neue inet ip bekommt , dann alle aktiven clienten über enderund informiren , und schon wird sich kein andere von ausen anlogen , bis deine datten wider bekant werden

oder die fail2ban instaliren , in meinen augen ist es aber schwachsin weil der jeniger wird weiter sich einlogen , wird aber durch die fail2ban nur komplet geblokt , bis er wider ne neue ip bekommt

 

[Osprey]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Vielen Dank Kermit!

dann lass wir den mal nach 5 Fehlversuchen 10Std. warten

Spoiler

[global]
serverip = 192.168.2.1
logfile = stdout;/tmp/oscam.log
failbantime = 600
failbancount = 5
nice = -1
maxlogsize = 128
waitforcards = 0
preferlocalcards = 1
saveinithistory = 1
lb_mode = 1
lb_save = 150

Echt Super dieses Forum hier !!

Gruß

- - - Aktualisiert - - -
Neue Ip bekomme ich keine so schnell bei Kabelinternet

Ich probiere es mal mit Failban.
Vielen Dank.

 

[czutok]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

@Osprey

das andere nachteil von fail2ban ist ;

wenn ergend ein klient von dir sich 5 mal einlogt , und dabei ein fehler entschteht ( kann immer pasieren ) wird dein regulere client auch für 10 stunden gespärt , das fail2ban kann auch dich als fehlversuch einstufen und blokiren , also nicht wundern wenn es auch bei dir dunkel wird.

 

[goerdi]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Neue Ip bekomme ich keine so schnell bei Kabelinternet

Das Geht recht Fix => Mac-Adresse vom WAN Interface aendern

Gruss Goerdi

 

[szonic]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Shit, ich hoffe für Dich der "Fremdling" kommt über eine dynadresse, ansonsten hast Du bei Kabel echt miese Karten.

Ja, Failban blockt manchmal auch die guten Clienten, daher habe ich für mich die Zahl der Limits auf 15 gesetzt und fahre sehr gut damit.
DIe eigenen laufen da nicht rein, und fremde habe ich nicht (3x Holzklopf)

 

[Mogelhieb]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Irgendwo bei Dir oder einem Deiner Klienten ist ein Sicherheitsleck. Nervensäge muss ja an Deine DynDNS und den Port gekommen sein.
Du solltest dafür sorgen, dass der Server und die Klientboxen komplett abgesichert werden.

Sonst bist das Problem mit der der Änderung von Adresse und Port nicht gelöst sondern nur vertagt.

 

[Osprey]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

@Osprey

das andere nachteil von fail2ban ist ;

wenn ergend ein klient von dir sich 5 mal einlogt , und dabei ein fehler entschteht ( kann immer pasieren ) wird dein regulere client auch für 10 stunden gespärt , das fail2ban kann auch dich als fehlversuch einstufen und blokiren , also nicht wundern wenn es auch bei dir dunkel wird.

Also wenn sich jemand 5 mal falsch einloggt, dann soll er mit mir Kontakt aufnehmen. Normalerweise loggt man sich ein und die Verbindung steht beim ersten mal, die Daten ändert der Client ja niemals die sind ja fest in cccam.cfg oder im Reader bei oscam.

Ich habe da so ein Verdacht........

Das Failban scheint zu funktionieren :ja

oscam log:

Spoiler

2012/06/29 11:44:04 1C08 p cccam: ecm trylock: got lock
2012/06/29 11:44:04 1C08 p cccam: ecm-task 598
2012/06/29 11:44:04 1C08 p cccam(r) kumpel: get by send-idx: 1 NOT FOUND
2012/06/29 11:44:04 1C08 p cccam(r) kumpel: sending ecm for sid 0014(147) to card 0000062c, hop 2, ecmtask 598
2012/06/29 11:44:04 400 s failban: banned ip 9x.x8.36.xx8:12008 - 30421 seconds left
2012/06/29 11:44:04 1C08 p select: socket is set
2012/06/29 11:44:04 1C08 p cccam(r) kumpel: parse_msg=1

Vielen Dank nochmal für die Hinweise.
Gruß

 

[Narf]

AW: Jemand versucht auf mein Oscam zu kommen seit 4 Tagen

Normalerweise loggt man sich ein und die Verbindung steht beim ersten mal, die Daten ändert der Client ja niemals die sind ja fest in cccam.cfg oder im Reader bei oscam.

Das stimmt so nicht,dass die Verbindung gleich beim ersten mal steht.Mir ist es auch schon passiert,dass sich mein Server einloggen wollte und die dyndns Adresse nicht abgeglichen wurde,dann ist auch failban angesagt.