pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » pdAdmin-Server schützen » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (2): « vorherige 1 [2] Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen pdAdmin-Server schützen
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 327

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich glaube
code:
1:
 \[client <HOST>\] client sent HTTP/1.1 request without hostname \(see RFC2616 section 14.23\)\: \/w00tw00t.at.ISC.SANS.DFind\:\)


sollte funktionieren. Ist schnell erstellt da ich da wirklich kein pro bin würde ich es and einer stelle erstmal testen.

code:
1:
fail2ban-regex /pfad/logfile /etc/fail2ban/filter.d/filter.conf


Kanns nicht verifzieren jedoch gibt es im netz genügend tools um seine regex zu prüfen. Kannst Du ja mal eben machen

Natürlich ohne gewähr... wie oft hast du das den in deinen logFiles? Bei mir zumindest nicht wirklich oft in der acces_log... beachte das der server ggf. viel zu tun hat wenn auf deinem server viele zugriffe stattfinden die in die access geschrieben werden.
11.12.2011 21:20 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Tealc
Mitglied


Dabei seit: 14.09.2009
Beiträge: 93

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

@webby
bisher sind nur wenig dieser Zeilen in der errorlog drin

__________________
MfG

Tealc
12.12.2011 00:13 Tealc ist offline E-Mail an Tealc senden Beiträge von Tealc suchen Nehme Tealc in Deine Freundesliste auf
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.662
Herkunft: Berlin

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

bei 2 Servern sieht das bei mir wie folgt aus:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
grep "/w00tw00t.at.ISC.SANS.DFind" /usr/local/pd-admin2/logs/error_log |wc -l
14895

grep "/w00tw00t.at.ISC.SANS.DFind" /usr/local/pd-admin2/logs/error_log |awk '{print substr($8, 1, length($8)-1)}'|perl -e 'while (<>) { chomp; $counter{$_}++; }; for (keys %counter) { printf("%5s mal : %s\n", $counter{$_},$_) }'|sort -nr
 1725 mal : 208.109.177.89
 1314 mal : 94.23.22.7
 1196 mal : 193.105.210.11
  948 mal : 213.92.118.133
  624 mal : 91.121.160.34
  540 mal : 188.165.107.13
  508 mal : 94.102.209.211
  482 mal : 69.162.74.102
  374 mal : 87.106.100.144
  315 mal : 67.205.102.172
  295 mal : 88.46.75.27
  288 mal : 81.196.179.210
  285 mal : 66.89.158.162
  262 mal : 184.73.247.193
  198 mal : 69.162.113.240
  196 mal : 93.174.2.202
  190 mal : 74.63.210.160
  186 mal : 87.106.244.210
  180 mal : 87.106.141.82
  176 mal : 217.70.51.154
  164 mal : 86.127.117.152
  153 mal : 208.109.154.93
  137 mal : 188.165.103.192
  128 mal : 217.13.115.154
  125 mal : 66.147.235.160
  121 mal : 89.121.253.227
[…]

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
grep "/w00tw00t.at.ISC.SANS.DFind" /usr/local/pd-admin2/logs/error_log |wc -l
11983

grep "/w00tw00t.at.ISC.SANS.DFind" /usr/local/pd-admin2/logs/error_log |awk '{print substr($8, 1, length($8)-1)}'|perl -e 'while (<>) { chomp; $counter{$_}++; }; for (keys %counter) { printf("%5s mal : %s\n", $counter{$_},$_) }'|sort -nr
 1500 mal : 62.141.46.179
 1163 mal : 187.45.214.10
  746 mal : 203.200.180.74
  414 mal : 85.18.119.96
  369 mal : 189.126.109.215
  365 mal : 94.102.209.211
  303 mal : 195.158.8.206
  288 mal : 74.208.197.155
  276 mal : 211.155.228.169
  271 mal : 87.106.100.144
  242 mal : 88.46.75.27
  217 mal : 75.126.254.13
  205 mal : 66.89.158.162
  193 mal : 69.162.74.102
  182 mal : 202.75.211.90
  178 mal : 81.196.179.210
  174 mal : 62.149.162.17
  172 mal : 193.105.210.11
  153 mal : 67.205.102.172
  152 mal : 213.190.70.39
  152 mal : 187.45.224.218
  143 mal : 93.174.2.202
  138 mal : 217.70.51.154
  112 mal : 88.191.61.110
[…]

mfg
Twilo

__________________
Wunschzettel smile
Farbtabelle
12.12.2011 11:55 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
Tealc
Mitglied


Dabei seit: 14.09.2009
Beiträge: 93

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ui das sieht nach viel aus, nungut meine error_log wird einmal die woche gepackt und verschoben und eine neue leere Datei erzeugt. Diese Logs bewahre ich dann erstmal auf, danach wenn nix ist werden diese gelöscht, das aber dann jährlich.
So verfahre ich mit allen Logs.

Aber trotzdem habe ich nicht soviele Einträge.

Auch gibt es Einträge wie "invalid request-URI" wenn ich wüsste was dies auslöst dann würde ich diese auch in den Filter eintragen.

Bei mir habe ich auch einen Apachefilter aktiviert:

in der /etc/fail2ban/jail.conf
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
[pdapache]
enabled = true
port    = http,https
filter  = pdapache-error
action  = iptables[name=HTTP-HTTPS-Banned, port=http,https, protocol=tcp]
logpath = /usr/local/pd-admin2/logs/*error_log
findtime =1800
bantime = 1800
maxretry = 5

und eine neue Filterdatei in /etc/fail2ban/filter.d/ mit folgendem Inhalt:
code:
1:
2:
3:
4:
[Definition]
  failregex = [[]client <HOST>[]] File does not exist: /home/*
              [[]client <HOST>[]] File does not exist: /usr/local/pd-admin2/htdocs/*
  ignoreregex =

Habe den Inhalt aus dem Originalfilter entnommen und etwas angepasst weils im Original nicht ganz geklappt hat, da konnte ich mehmals ein "File does not exist" error simulieren und hatte nix gebracht, nachdem ich es so angepasst habe, funktionierte es.
In dem Filter kann man nun auch weitere failregex einfügen.
Normal steht ja beschrieben das man seine eigene jailconfig machen soll unter Namen jail.local aber manche Jails haben dann nicht gestartet, also habe ich die Jails von webby und mein Apachejail ganz unten in der Datei jail.conf eingetragen.

f2b funktioniert gut und nimmt mir ein Stück Arbeit ab.

Achja und 1800 sec für diesen Ban finde ich passend, My Server, my rules ^^.

*EDIT*
Ups ich musste mein Filter anpassen, da ich mich selbst ausgesperrt hatte als ich eine
neue Subdomain erstellt habe.

Sie sieht nun wie folgt aus:
code:
1:
2:
3:
4:
5:
6:
[Definition]
  failregex = [[]client <HOST>[]] File does not exist:
 
  ignoreregex = usage2
                awstats
                favicon.ico

Nun kann ich mich nicht so einfach selber aussperren Augenzwinkern

__________________
MfG

Tealc

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Tealc: 13.12.2011 18:34.

12.12.2011 14:16 Tealc ist offline E-Mail an Tealc senden Beiträge von Tealc suchen Nehme Tealc in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 327

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

beim regex zu proftp musste ich eine Zeile entsprechend abändern, da dieser sonst nicht richtig erkannt wurde:

code:
1:
\(\S+\[<HOST>\]\) \- Maximum login attempts \(3\) exceeded, connection refused

Habe das im entsprechenden Post bereits geändert.
28.12.2011 11:08 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Bibo
Mitglied


Dabei seit: 19.03.2012
Beiträge: 14

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Coole Sache die du hier gemacht hast webby ;-)

Hab da nal ne frage zu dem pdapache wenn ich den bei mir einaue bekomme ich ein failed! beim neustarten von Fail2ban.Benutzte ein Debian Sys 32bit.Git es sonst noch welche die man aktivieren sollte oder hinzufügen sollte?
23.03.2012 14:36 Bibo ist offline E-Mail an Bibo senden Beiträge von Bibo suchen Nehme Bibo in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 327

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi Bibo,

danke für das Lob smile

Ich habe das ganze übrigens auch in HowTo in gesammelter form reingepackt

Server mit Fail2Ban absichern

Hast Du bei den Regeln auch bedacht das Debian andere LogFiles nutzt als CentOs?

Mit "fail2ban-client –d" Kannst du übrigens prüfen ob mit deiner Config alles in Ordnung ist.
23.03.2012 15:35 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
Bibo
Mitglied


Dabei seit: 19.03.2012
Beiträge: 14

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Guten Abend,

also so wie ich das sehe,gibt es bei debian genau die gleichen logs
23.03.2012 19:57 Bibo ist offline E-Mail an Bibo senden Beiträge von Bibo suchen Nehme Bibo in Deine Freundesliste auf
Seiten (2): « vorherige 1 [2] Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » pdAdmin-Server schützen

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de