Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
BruteForceBlocking: banner exchange Fehler
11 views
Skip to first unread message
Marcus Röckrath
Apr 11, 2022, 1:20:02 PM4/11/22
to
Hallo Olaf,
würde BFB auch
sshd[29869]: error: kex_exchange_identification: banner line contains
invalid characters
sshd[29869]: error: send_error: write: Connection reset by peer
sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
invalid format
als Blockkandidaten erkennen?
--
Gruß Marcus
[eisfair-Team]
würde BFB auch
sshd[29869]: error: kex_exchange_identification: banner line contains
invalid characters
sshd[29869]: error: send_error: write: Connection reset by peer
sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
invalid format
als Blockkandidaten erkennen?
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 11, 2022, 4:51:13 PM4/11/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 11.04.22 um 19:12:
Bisher noch nicht. Kommt die Meldung bei Dir öfter?
Bei mir im gesamten Monat auf allen Servern insgesamt nur 29 mal
(Syslogserver).
Direkt darunter mit der selben PID dann der reset bzw close mit ip Adresse.
Wäre also machbar.
Gruß
Olaf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 11.04.22 um 19:12:
Bei mir im gesamten Monat auf allen Servern insgesamt nur 29 mal
(Syslogserver).
Direkt darunter mit der selben PID dann der reset bzw close mit ip Adresse.
Wäre also machbar.
Gruß
Olaf
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Olaf Jaehrling
Apr 11, 2022, 5:05:08 PM4/11/22
to
Nochmal Hallo,
der Suchstring wäre auch schon fertig.
Olaf Jaehrling schrieb am 11.04.22 um 22:51:
sed -n '/kex_exchange_identification/{n;p;}' </var/log/messages |awk
-F"by|from" {'print $2'}|grep -Eo
'([0-9\.]+\.+)+[0-9]+|([a-f0-9:]+:+)+[a-f0-9]+'
92.255.85.10
165.227.132.139
141.98.10.42
159.89.26.176
141.98.10.42
159.89.26.176
46.101.151.25
159.89.26.176
141.98.10.42
77.42.251.228
159.89.6.202
77.42.251.228
159.89.6.202
172.104.159.48
172.104.159.48
172.104.159.48
94.102.61.44
88.214.26.10
88.214.26.10
92.205.58.11
94.232.41.25
94.232.41.25
94.232.41.25
94.232.41.25
138.68.86.12
104.152.52.151
104.152.52.147
188.166.165.113
188.166.165.113
Wie man allerdings sieht würde mit den default-Einstellung keine
Blockierung stattfinden, da es jeweils zu wenig Versuche sind.
Mit rein nehmen kann ich es aber. Vllt auch mit einer kürzeren
Schlagzahl oder mit bei der "Slow"-Erkennung.
der Suchstring wäre auch schon fertig.
Olaf Jaehrling schrieb am 11.04.22 um 22:51:
> Hallo Marcus,
>
> Marcus Röckrath schrieb am 11.04.22 um 19:12:
>> Hallo Olaf,
>>
>> würde BFB auch
>>
>> sshd[29869]: error: kex_exchange_identification: banner line contains
>> invalid characters
>> sshd[29869]: error: send_error: write: Connection reset by peer
>> sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
>> invalid format
>>
>> als Blockkandidaten erkennen?
>
> Bisher noch nicht. Kommt die Meldung bei Dir öfter?
> Bei mir im gesamten Monat auf allen Servern insgesamt nur 29 mal
> (Syslogserver).
> Direkt darunter mit der selben PID dann der reset bzw close mit ip Adresse.
> Wäre also machbar.
bei ipv4 und ipv6:
>
> Marcus Röckrath schrieb am 11.04.22 um 19:12:
>> Hallo Olaf,
>>
>> würde BFB auch
>>
>> sshd[29869]: error: kex_exchange_identification: banner line contains
>> invalid characters
>> sshd[29869]: error: send_error: write: Connection reset by peer
>> sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
>> invalid format
>>
>> als Blockkandidaten erkennen?
>
> Bisher noch nicht. Kommt die Meldung bei Dir öfter?
> Bei mir im gesamten Monat auf allen Servern insgesamt nur 29 mal
> (Syslogserver).
> Direkt darunter mit der selben PID dann der reset bzw close mit ip Adresse.
> Wäre also machbar.
sed -n '/kex_exchange_identification/{n;p;}' </var/log/messages |awk
-F"by|from" {'print $2'}|grep -Eo
'([0-9\.]+\.+)+[0-9]+|([a-f0-9:]+:+)+[a-f0-9]+'
92.255.85.10
165.227.132.139
141.98.10.42
159.89.26.176
141.98.10.42
159.89.26.176
46.101.151.25
159.89.26.176
141.98.10.42
77.42.251.228
159.89.6.202
77.42.251.228
159.89.6.202
172.104.159.48
172.104.159.48
172.104.159.48
94.102.61.44
88.214.26.10
88.214.26.10
92.205.58.11
94.232.41.25
94.232.41.25
94.232.41.25
94.232.41.25
138.68.86.12
104.152.52.151
104.152.52.147
188.166.165.113
188.166.165.113
Wie man allerdings sieht würde mit den default-Einstellung keine
Blockierung stattfinden, da es jeweils zu wenig Versuche sind.
Mit rein nehmen kann ich es aber. Vllt auch mit einer kürzeren
Schlagzahl oder mit bei der "Slow"-Erkennung.
Marcus Röckrath
Apr 12, 2022, 1:50:03 AM4/12/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>>> sshd[29869]: error: kex_exchange_identification: banner line contains
>>> invalid characters
>>> sshd[29869]: error: send_error: write: Connection reset by peer
>>> sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
>>> invalid format
>>>
>>> als Blockkandidaten erkennen?
>>
>> Bisher noch nicht. Kommt die Meldung bei Dir öfter?
In allen Logs auf einem Server (also in den letzten 6 Monaten) über 2000mal.
Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
vermutlich doch zu selten ist.
Seit mein Schulverwaltungsnetz von der Stadt über einen Zugang mit
öffentlicher IP/Domain versorgt wird, haben ich mit BruteForce-Versuchen zu
tun, vorher nie.
In den letzten 6 Monaten kommen rund 475.000 Versuche zusammen, und das auf
einem für ssh ungewöhnlichen Port.
Wegen starkem Passwort kam da allerdings nie einer rein; habe jetzt auch auf
reinen Keylogin verschärft.
Hier meine Liste der IP:
103.203.57.24
106.15.106.251
106.45.8.93
106.45.9.0
109.234.153.132
109.234.153.133
109.234.153.134
112.126.66.135
116.52.118.105
120.79.70.153
122.224.132.234
123.245.24.58
124.227.31.127
124.227.31.167
13.74.217.245
130.61.117.63
134.122.134.150
141.101.196.233
143.110.147.174
150.139.129.74
150.158.163.188
153.0.59.96
154.13.1.121
156.146.60.131
162.142.125.128
164.90.204.38
167.99.40.218
167.99.50.199
170.106.115.55
170.106.173.40
172.104.140.107
172.105.224.72
172.105.87.91
178.32.197.86
181.214.206.151
182.245.173.214
183.99.50.91
185.140.252.102
185.180.143.146
185.193.88.29
185.204.1.182
185.204.1.216
185.217.1.122
185.219.52.171
185.219.52.172
185.53.90.24
188.166.146.158
188.166.40.32
193.118.55.146
193.23.3.121
194.110.115.52
195.133.20.36
195.54.160.149
198.199.104.153
20.119.231.218
20.119.253.69
20.122.29.145
20.77.248.90
20.82.120.146
219.139.40.10
221.11.5.62
222.186.19.235
223.71.167.165
23.148.145.14
31.207.47.5
36.106.167.71
39.104.50.248
43.131.66.209
45.146.164.110
45.146.164.132
45.146.166.75
45.155.205.233
45.9.20.45
47.180.182.47
47.242.115.38
47.243.77.213
49.113.102.165
5.178.86.74
5.178.86.76
5.178.86.78
59.26.157.146
60.191.125.35
61.166.163.190
61.72.38.120
71.6.146.130
71.6.158.166
71.6.167.142
72.18.130.2
72.54.132.66
77.83.36.32
78.128.112.14
78.128.112.18
79.124.62.106
8.217.21.119
8.218.33.33
80.66.76.145
80.82.77.139
85.119.151.252
85.119.151.253
85.119.151.254
87.139.217.249
87.251.64.134
87.251.64.196
87.251.64.20
87.251.67.98
87.251.75.45
89.248.165.23
89.248.165.52
89.248.168.129
89.248.172.16
91.191.209.142
91.213.50.53
91.241.19.234
92.118.234.202
94.232.40.67
94.232.43.63
94.232.46.213
94.76.252.1
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling wrote:
>>> sshd[29869]: error: kex_exchange_identification: banner line contains
>>> invalid characters
>>> sshd[29869]: error: send_error: write: Connection reset by peer
>>> sshd[29869]: banner exchange: Connection from 185.156.72.3 port 61975:
>>> invalid format
>>>
>>> als Blockkandidaten erkennen?
>>
>> Bisher noch nicht. Kommt die Meldung bei Dir öfter?
Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
vermutlich doch zu selten ist.
Seit mein Schulverwaltungsnetz von der Stadt über einen Zugang mit
öffentlicher IP/Domain versorgt wird, haben ich mit BruteForce-Versuchen zu
tun, vorher nie.
In den letzten 6 Monaten kommen rund 475.000 Versuche zusammen, und das auf
einem für ssh ungewöhnlichen Port.
Wegen starkem Passwort kam da allerdings nie einer rein; habe jetzt auch auf
reinen Keylogin verschärft.
Hier meine Liste der IP:
103.203.57.24
106.15.106.251
106.45.8.93
106.45.9.0
109.234.153.132
109.234.153.133
109.234.153.134
112.126.66.135
116.52.118.105
120.79.70.153
122.224.132.234
123.245.24.58
124.227.31.127
124.227.31.167
13.74.217.245
130.61.117.63
134.122.134.150
141.101.196.233
143.110.147.174
150.139.129.74
150.158.163.188
153.0.59.96
154.13.1.121
156.146.60.131
162.142.125.128
164.90.204.38
167.99.40.218
167.99.50.199
170.106.115.55
170.106.173.40
172.104.140.107
172.105.224.72
172.105.87.91
178.32.197.86
181.214.206.151
182.245.173.214
183.99.50.91
185.140.252.102
185.180.143.146
185.193.88.29
185.204.1.182
185.204.1.216
185.217.1.122
185.219.52.171
185.219.52.172
185.53.90.24
188.166.146.158
188.166.40.32
193.118.55.146
193.23.3.121
194.110.115.52
195.133.20.36
195.54.160.149
198.199.104.153
20.119.231.218
20.119.253.69
20.122.29.145
20.77.248.90
20.82.120.146
219.139.40.10
221.11.5.62
222.186.19.235
223.71.167.165
23.148.145.14
31.207.47.5
36.106.167.71
39.104.50.248
43.131.66.209
45.146.164.110
45.146.164.132
45.146.166.75
45.155.205.233
45.9.20.45
47.180.182.47
47.242.115.38
47.243.77.213
49.113.102.165
5.178.86.74
5.178.86.76
5.178.86.78
59.26.157.146
60.191.125.35
61.166.163.190
61.72.38.120
71.6.146.130
71.6.158.166
71.6.167.142
72.18.130.2
72.54.132.66
77.83.36.32
78.128.112.14
78.128.112.18
79.124.62.106
8.217.21.119
8.218.33.33
80.66.76.145
80.82.77.139
85.119.151.252
85.119.151.253
85.119.151.254
87.139.217.249
87.251.64.134
87.251.64.196
87.251.64.20
87.251.67.98
87.251.75.45
89.248.165.23
89.248.165.52
89.248.168.129
89.248.172.16
91.191.209.142
91.213.50.53
91.241.19.234
92.118.234.202
94.232.40.67
94.232.43.63
94.232.46.213
94.76.252.1
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 13, 2022, 4:50:09 PM4/13/22
to
Hallo Marcus,
>
> In allen Logs auf einem Server (also in den letzten 6 Monaten) über 2000mal.
> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
> vermutlich doch zu selten ist.
>
Das lohnt sich dann doch schon. Pack ich in die Slow-Schleife mit rein.
Wird aber leider erst was nach Ostern.
>
> In allen Logs auf einem Server (also in den letzten 6 Monaten) über 2000mal.
> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
> vermutlich doch zu selten ist.
>
Wird aber leider erst was nach Ostern.
Olaf Jaehrling
Apr 22, 2022, 1:20:34 PM4/22/22
to
Hallo Marcus,
Olaf Jaehrling schrieb am 13.04.22 um 22:50:
Servern bisher ohne Probleme undf hat auch alles erkannt. Leider habe
ich nicht sonderlich viele "banner exchange" Einträge, so dass ich
nichts dazu sagen kann, ob BFB die jetzt sauber erkennt.
Wäre nett wenn du mir dazu Rückmeldung geben könntest.
Danke und Gruß
Olaf
Olaf Jaehrling schrieb am 13.04.22 um 22:50:
> Hallo Marcus,
>
>
>>
>> In allen Logs auf einem Server (also in den letzten 6 Monaten) über
>> 2000mal.
>> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
>> vermutlich doch zu selten ist.
>>
>
> Das lohnt sich dann doch schon. Pack ich in die Slow-Schleife mit rein.
> Wird aber leider erst was nach Ostern.
ich habe die Version 2.0.4 jetzt mal hochgeladen. Sie lief auf meinen
>
>
>>
>> In allen Logs auf einem Server (also in den letzten 6 Monaten) über
>> 2000mal.
>> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
>> vermutlich doch zu selten ist.
>>
>
> Das lohnt sich dann doch schon. Pack ich in die Slow-Schleife mit rein.
> Wird aber leider erst was nach Ostern.
Servern bisher ohne Probleme undf hat auch alles erkannt. Leider habe
ich nicht sonderlich viele "banner exchange" Einträge, so dass ich
nichts dazu sagen kann, ob BFB die jetzt sauber erkennt.
Wäre nett wenn du mir dazu Rückmeldung geben könntest.
Danke und Gruß
Olaf
Marcus Röckrath
Apr 22, 2022, 2:40:02 PM4/22/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>>> In allen Logs auf einem Server (also in den letzten 6 Monaten) über
>>> 2000mal.
>>> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
>>> vermutlich doch zu selten ist.
>>
>> Das lohnt sich dann doch schon. Pack ich in die Slow-Schleife mit rein.
>> Wird aber leider erst was nach Ostern.
>
> ich habe die Version 2.0.4 jetzt mal hochgeladen. Sie lief auf meinen
> Servern bisher ohne Probleme undf hat auch alles erkannt. Leider habe
> ich nicht sonderlich viele "banner exchange" Einträge, so dass ich
> nichts dazu sagen kann, ob BFB die jetzt sauber erkennt.
>
> Wäre nett wenn du mir dazu Rückmeldung geben könntest.
Gerne, ist ja mein erster Versuch mit BFB. Sammelt fleißig die Attacker ein,
>>> 2000mal.
>>> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
>>> vermutlich doch zu selten ist.
>>
>> Das lohnt sich dann doch schon. Pack ich in die Slow-Schleife mit rein.
>> Wird aber leider erst was nach Ostern.
>
> ich habe die Version 2.0.4 jetzt mal hochgeladen. Sie lief auf meinen
> Servern bisher ohne Probleme undf hat auch alles erkannt. Leider habe
> ich nicht sonderlich viele "banner exchange" Einträge, so dass ich
> nichts dazu sagen kann, ob BFB die jetzt sauber erkennt.
>
> Wäre nett wenn du mir dazu Rückmeldung geben könntest.
hatte mich aber auch gerade ausgesperrt.
1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war. Habe
das dann abgeschaltet.
2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi sowohl
in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag.
3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.
4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf, kommt
eine nichtexistente URL raus:
http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
Die IP-HTML-Seiten liegen aber doch
unter /var/www/htdocs/brute_force_blocking.
5. Wo kommt eigentlich das Verzeichnis /brute-force_blocking (also in /)
her? Soll das so?
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 22, 2022, 5:00:40 PM4/22/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 22.04.22 um 20:36:
> Hallo Olaf,
gesperrter IP-Adressen.
tmpfs tmpfs 2.0M 524K 1.5M 26% /brute_force_blocking
bfb-db.sh display |wc -l
620
>
> 2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
> aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi sowohl
> in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag >
Setup geändert, oder? :)
BFB_OWN_WEBDOMAIN_NAME
Wenn du das im setup ausschaltest und neu startets sollte das
Verzeichnis eigentlich gelöscht werden. Allerdings habe ich auch schon
mitbekommen, dass das initscript versucht das Verzeichnis zu löschen
wenn das BFB-Script noch nicht beendet/durchgelaufen ist. Dann kann das
Verzeichnis nicht gelöscht werden. Das habe ich schon mit einem Delay
versucht zu lösen, hat aber offensichtlich doch noch nicht geklappt.
Danke für die Rückmeldung. Dann habe ich mal wieder was zum Suchen. :)
Marcus Röckrath schrieb am 22.04.22 um 20:36:
> Hallo Olaf,
>
>
> Gerne, ist ja mein erster Versuch mit BFB. Sammelt fleißig die Attacker ein,
> hatte mich aber auch gerade ausgesperrt.
>
> 1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war. Habe
> das dann abgeschaltet.
Die 2 MB sind zu klein? Ich habe noch nie die 1MB geschafft, trotz 620
>
> Gerne, ist ja mein erster Versuch mit BFB. Sammelt fleißig die Attacker ein,
> hatte mich aber auch gerade ausgesperrt.
>
> 1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war. Habe
> das dann abgeschaltet.
gesperrter IP-Adressen.
tmpfs tmpfs 2.0M 524K 1.5M 26% /brute_force_blocking
bfb-db.sh display |wc -l
620
>
> 2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
> aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi sowohl
> in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag >
> 3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.
Die sollte das eigentlich mitbekommen. Dumme Frage .. Du hast das im
Setup geändert, oder? :)
>
> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf, kommt
> eine nichtexistente URL raus:
>
> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
Was sagt denn die Variable
> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf, kommt
> eine nichtexistente URL raus:
>
> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
BFB_OWN_WEBDOMAIN_NAME
>
> Die IP-HTML-Seiten liegen aber doch
> unter /var/www/htdocs/brute_force_blocking.
>
> 5. Wo kommt eigentlich das Verzeichnis /brute-force_blocking (also in /)
> her? Soll das so?
Jein. Das Verzeichnis wird angelegt wenn du BFB mit RAMDISK verwendest.
> Die IP-HTML-Seiten liegen aber doch
> unter /var/www/htdocs/brute_force_blocking.
>
> 5. Wo kommt eigentlich das Verzeichnis /brute-force_blocking (also in /)
> her? Soll das so?
Wenn du das im setup ausschaltest und neu startets sollte das
Verzeichnis eigentlich gelöscht werden. Allerdings habe ich auch schon
mitbekommen, dass das initscript versucht das Verzeichnis zu löschen
wenn das BFB-Script noch nicht beendet/durchgelaufen ist. Dann kann das
Verzeichnis nicht gelöscht werden. Das habe ich schon mit einem Delay
versucht zu lösen, hat aber offensichtlich doch noch nicht geklappt.
Danke für die Rückmeldung. Dann habe ich mal wieder was zum Suchen. :)
Marcus Röckrath
Apr 23, 2022, 2:20:03 AM4/23/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>> Gerne, ist ja mein erster Versuch mit BFB. Sammelt fleißig die Attacker
>> ein, hatte mich aber auch gerade ausgesperrt.
>>
>> 1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war.
>> Habe das dann abgeschaltet.
>
> Die 2 MB sind zu klein? Ich habe noch nie die 1MB geschafft, trotz 620
> gesperrter IP-Adressen.
> tmpfs tmpfs 2.0M 524K 1.5M 26% /brute_force_blocking
> bfb-db.sh display |wc -l
> 620
Habe ein 16er-Netzblock als Free eingetragen, was die DB massiv aufbläbt,
>> ein, hatte mich aber auch gerade ausgesperrt.
>>
>> 1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war.
>> Habe das dann abgeschaltet.
>
> Die 2 MB sind zu klein? Ich habe noch nie die 1MB geschafft, trotz 620
> gesperrter IP-Adressen.
> tmpfs tmpfs 2.0M 524K 1.5M 26% /brute_force_blocking
> bfb-db.sh display |wc -l
> 620
aber auch Ewigkeiten zur Erstellung der DB benötigt - habe das erstmal
wieder rausgenommen.
>> 2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
>> aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi
>> sowohl in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag >
>> 3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.
>
> Die sollte das eigentlich mitbekommen. Dumme Frage .. Du hast das im
> Setup geändert, oder? :)
funktionierte.
>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>> kommt eine nichtexistente URL raus:
>>
>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
>
> Was sagt denn die Variable
> BFB_OWN_WEBDOMAIN_NAME
Habe aber von außen auf die index.html zugegriffen, also über
http://ip:port/... zugegriffen.
>> Die IP-HTML-Seiten liegen aber doch
>> unter /var/www/htdocs/brute_force_blocking.
>
>> 5. Wo kommt eigentlich das Verzeichnis /brute-force_blocking (also in /)
>> her? Soll das so?
> Jein. Das Verzeichnis wird angelegt wenn du BFB mit RAMDISK verwendest.
> Wenn du das im setup ausschaltest und neu startets sollte das
> Verzeichnis eigentlich gelöscht werden. Allerdings habe ich auch schon
> mitbekommen, dass das initscript versucht das Verzeichnis zu löschen
> wenn das BFB-Script noch nicht beendet/durchgelaufen ist. Dann kann das
> Verzeichnis nicht gelöscht werden. Das habe ich schon mit einem Delay
> versucht zu lösen, hat aber offensichtlich doch noch nicht geklappt.
Freeblock rasend schnell voll war.
Vielleicht der Grund für weitere Probleme danach.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 23, 2022, 2:50:01 AM4/23/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
> Wäre nett wenn du mir dazu Rückmeldung geben könntest.
Gerne mit Fortsetzung:
Gerade wird die 1.1 geblockt, wobei ich mich Frage, was er damit meint, oder
blocken sollte.
Vermute es hängt mit solchen Zeilen zusammen:
Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET /
HTTP/1.1"<br>
Apr 13 03:57:19 nepo-vw-server sshd[13718]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET /
HTTP/1.1"<br>
Apr 13 10:06:35 nepo-vw-server sshd[11167]: error:
kex_exchange_identification: client sent invalid protocol identifier
"CONNECT google.com:443 HTTP/1.1"<br>
Apr 13 19:55:20 nepo-vw-server sshd[31718]: error:
kex_exchange_identification: client sent invalid protocol identifier
"GET /system_api.php HTTP/1.1"<br>
Apr 13 19:55:21 nepo-vw-server sshd[31818]: error:
kex_exchange_identification: client sent invalid protocol identifier
"GET /c/version.js HTTP/1.1"<br>
Apr 13 19:55:23 nepo-vw-server sshd[31820]: error:
kex_exchange_identification: client sent invalid protocol identifier
"GET /streaming/clients_live.php HTTP/1.1"<br>
Apr 13 19:55:25 nepo-vw-server sshd[31822]: error:
kex_exchange_identification: client sent invalid protocol identifier
"GET /stalker_portal/c/version.js HTTP/1.1"<br>
Apr 13 19:55:27 nepo-vw-server sshd[31824]: error:
kex_exchange_identification: client sent invalid protocol identifier
"GET /stream/live.php HTTP/1.1"<br>
Apr 13 19:55:29 nepo-vw-server sshd[31831]: error:
kex_exchange_identification: client sent invalid protocol identifier
"GET /flu/403.html HTTP/1.1"<br>
In der 1.1.html mit über 2000 Zeilen, die Zeilen ab 1.4. enthalten, wobei
auch Zeilen ohne Bezug auf ssh wie
Apr 22 11:35:50 nepo-vw-server imapd[9785]: imap service init from
192.168.100.101<br>
oder
Apr 22 18:01:42 nepo-vw-server smartd[7743]:
Device: /dev/disk/by-id/ata-WDC_WD5002AALX-00J37A0_WD-WCAYUX024924 [SAT],
SMART Prefailure Attribute: 3 Spin_Up_Time changed from 141 to 142 <br>
enthalten sind, findet sich unten die Summary:
Apr 23 01:47:15 nepo-vw-server sshd[26845]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET /
HTTP/1.1"<br>
Apr 23 01:47:23 nepo-vw-server BFB[27733]: address 1.1 blocked after 511
attempt to abuse SLOW_SSH_ATTACK <br>
#################################################################<br>
Process query: '1.1'<br>
Query recognized as IPv4.<br>
Querying whois.arin.net:43 with whois.<br>
<br>
<br>
#<br>
# ARIN WHOIS data and services are subject to the Terms of Use<br>
# available at: https://www.arin.net/resources/registry/whois/tou/<br>
#<br>
# If you see inaccuracies in the results, please report at<br>
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/<br>
#<br>
# Copyright 1997-2022, American Registry for Internet Numbers, Ltd.<br>
#<br>
<br>
<br>
No match found for z + 1.1.<br>
<br>
<br>
#<br>
# ARIN WHOIS data and services are subject to the Terms of Use<br>
# available at: https://www.arin.net/resources/registry/whois/tou/<br>
#<br>
# If you see inaccuracies in the results, please report at<br>
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/<br>
#<br>
# Copyright 1997-2022, American Registry for Internet Numbers, Ltd.<br>
#<br>
<br>
<br>
<br>
<br>
-- <br>
To resolve one of the above handles: whois -h whois.arin.net HANDLE<br>
OTOH offical handles should be recognised directly.<br>
Please report errors or misfits via the debian bug tracking system.<br>
#################################################################<br>
traceroute to 1.1 (1.0.0.1), 20 hops max, 60 byte packets<br>
1 192.168.100.100 (192.168.100.100) 0.173 ms<br>
2 225-058-074-080.ip-addr.inexio.net (80.74.58.225) 4.742 ms<br>
3 185.22.46.68 (185.22.46.68) 4.620 ms<br>
4 ddf-b2-link.ip.twelve99.net (62.115.38.12) 4.282 ms<br>
5 cloudflare-svc079348-ic369097.ip.twelve99-cust.net (62.115.174.133)
4.619 ms<br>
6 one.one.one.one (1.0.0.1) 4.572 ms<br>
</body>
</html>
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 23, 2022, 9:10:02 AM4/23/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
> Wäre nett wenn du mir dazu Rückmeldung geben könntest.
Wieso wird das nicht als Attack erkannt:
sshd[24903]: Invalid user admin from 80.94.92.14
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 24, 2022, 3:24:12 PM4/24/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 23.04.22 um 08:11:
>
> Habe ein 16er-Netzblock als Free eingetragen, was die DB massiv aufbläbt,
> aber auch Ewigkeiten zur Erstellung der DB benötigt - habe das erstmal
> wieder rausgenommen.
Ja, 65535 sind schon viele Einträge. Allerdings macht so ein großes Netz
als Dauerfreigabe auch keinen Sinn.
>
>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>>> kommt eine nichtexistente URL raus:
>>>
>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
Ich kann das absolut nicht nachvollziehen. :(
Auch kann ich mir nicht vorstellen, woher die Punkte kommen. Oder sind
das von Dir eingesetze Platzhalter?
Ahh.. jetzt sehe ich den Fehler. Du meinst das "cgi-bin" im Pfad, oder?
Das gehört da defintiv nicht rein.
>>
>
> Der Erststart verlief ja auch chaotisch, weil die Ramdisk durch den großen
> Freeblock rasend schnell voll war.
>
> Vielleicht der Grund für weitere Probleme danach.
Das könnte durchaus sein, weil BFB dann sich selbst in die Quere kommt.
Danke und Gruß
Marcus Röckrath schrieb am 23.04.22 um 08:11:
>
> Habe ein 16er-Netzblock als Free eingetragen, was die DB massiv aufbläbt,
> aber auch Ewigkeiten zur Erstellung der DB benötigt - habe das erstmal
> wieder rausgenommen.
als Dauerfreigabe auch keinen Sinn.
>
>>> 2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
>>> aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi
>>> sowohl in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag >
>>> 3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.
>>
>> Die sollte das eigentlich mitbekommen. Dumme Frage .. Du hast das im
>> Setup geändert, oder? :)
>
> Ja, die index.html habe ich dann aber manuell korrigiert, als das nicht
> funktionierte.
ok, das muss ichg also nochmal prüfen. Das war schon bereinigt. Komisch.
>>> 2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
>>> aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi
>>> sowohl in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag >
>>> 3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.
>>
>> Die sollte das eigentlich mitbekommen. Dumme Frage .. Du hast das im
>> Setup geändert, oder? :)
>
> Ja, die index.html habe ich dann aber manuell korrigiert, als das nicht
> funktionierte.
>
>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>>> kommt eine nichtexistente URL raus:
>>>
>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
Auch kann ich mir nicht vorstellen, woher die Punkte kommen. Oder sind
das von Dir eingesetze Platzhalter?
Ahh.. jetzt sehe ich den Fehler. Du meinst das "cgi-bin" im Pfad, oder?
Das gehört da defintiv nicht rein.
>>
>
> Der Erststart verlief ja auch chaotisch, weil die Ramdisk durch den großen
> Freeblock rasend schnell voll war.
>
> Vielleicht der Grund für weitere Probleme danach.
Danke und Gruß
Olaf Jaehrling
Apr 24, 2022, 3:26:56 PM4/24/22
to
Hi Marcus,
Was sagt
/usr/local/brute_force_blocking/bfb-db.sh print |grep 80.94.92.14
> Wieso wird das nicht als Attack erkannt:
>
> sshd[24903]: Invalid user admin from 80.94.92.14
>
Wie oft komme denn die Einträge?
>
> sshd[24903]: Invalid user admin from 80.94.92.14
>
Was sagt
/usr/local/brute_force_blocking/bfb-db.sh print |grep 80.94.92.14
Olaf Jaehrling
Apr 24, 2022, 3:32:04 PM4/24/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 23.04.22 um 08:48:
gerechnet. Wer rechnet denn auch damit, dass jemand http via ssh
ausführen will. :)
Kannst du mir mal das Logfile zukommen lassen, wo diese Einträge drin
stehen?
Danke und Gruß
Marcus Röckrath schrieb am 23.04.22 um 08:48:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>> Wäre nett wenn du mir dazu Rückmeldung geben könntest.
>
> Gerne mit Fortsetzung:
>
> Gerade wird die 1.1 geblockt, wobei ich mich Frage, was er damit meint, oder
> blocken sollte.
linux ändert fehlende digit in nullen um. aus 1.1 wird dann 1.0.0.1.
>
> Olaf Jaehrling wrote:
>
>> Wäre nett wenn du mir dazu Rückmeldung geben könntest.
>
> Gerne mit Fortsetzung:
>
> Gerade wird die 1.1 geblockt, wobei ich mich Frage, was er damit meint, oder
> blocken sollte.
>
> Vermute es hängt mit solchen Zeilen zusammen:
>
> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
> kex_exchange_identification: client sent invalid protocol identifier "GET /
> HTTP/1.1"<br>
Jupp, das ist dann vermutlich noch ein Fehler. Damit hätte ich nicht
> Vermute es hängt mit solchen Zeilen zusammen:
>
> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
> kex_exchange_identification: client sent invalid protocol identifier "GET /
> HTTP/1.1"<br>
gerechnet. Wer rechnet denn auch damit, dass jemand http via ssh
ausführen will. :)
Kannst du mir mal das Logfile zukommen lassen, wo diese Einträge drin
stehen?
Danke und Gruß
Marcus Röckrath
Apr 24, 2022, 3:40:02 PM4/24/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>> Wieso wird das nicht als Attack erkannt:
>>
>> sshd[24903]: Invalid user admin from 80.94.92.14
>
> Wie oft komme denn die Einträge?
> Was sagt
> /usr/local/brute_force_blocking/bfb-db.sh print |grep 80.94.92.14
Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>
>> sshd[24903]: Invalid user admin from 80.94.92.14
>
> Wie oft komme denn die Einträge?
> Was sagt
> /usr/local/brute_force_blocking/bfb-db.sh print |grep 80.94.92.14
grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
in den letzten beiden Tagen.
Ähnliche Loginversuche kommen auch von anderen IPs.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 24, 2022, 3:45:27 PM4/24/22
to
Hi Marcus,
Marcus Röckrath schrieb am 24.04.22 um 21:38:
> Hallo Olaf,
Gruß
Olaf
Marcus Röckrath schrieb am 24.04.22 um 21:38:
> Hallo Olaf,
>
> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>
> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>
> in den letzten beiden Tagen.
Fehlt hier noch das Ergebnis von wc -l?
> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>
> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>
> in den letzten beiden Tagen.
Gruß
Olaf
>
> Ähnliche Loginversuche kommen auch von anderen IPs.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
> Ähnliche Loginversuche kommen auch von anderen IPs.
>
--
Marcus Röckrath
Apr 24, 2022, 3:50:02 PM4/24/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>>>> kommt eine nichtexistente URL raus:
>>>>
>>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
>
> Ich kann das absolut nicht nachvollziehen. :(
> Auch kann ich mir nicht vorstellen, woher die Punkte kommen. Oder sind
> das von Dir eingesetze Platzhalter?
>
> Ahh.. jetzt sehe ich den Fehler. Du meinst das "cgi-bin" im Pfad, oder?
> Das gehört da defintiv nicht rein.
Genau, das meinete ich ......:.... ist sowas wie ip:port oder fqdn:port,
>>>> kommt eine nichtexistente URL raus:
>>>>
>>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
>
> Ich kann das absolut nicht nachvollziehen. :(
> Auch kann ich mir nicht vorstellen, woher die Punkte kommen. Oder sind
> das von Dir eingesetze Platzhalter?
>
> Ahh.. jetzt sehe ich den Fehler. Du meinst das "cgi-bin" im Pfad, oder?
> Das gehört da defintiv nicht rein.
also ok - musste das Verschleiern.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 24, 2022, 4:10:02 PM4/24/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>
>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>>
>> in den letzten beiden Tagen.
>
> Fehlt hier noch das Ergebnis von wc -l?
Ja, :-))))) 380!
>>
>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>>
>> in den letzten beiden Tagen.
>
> Fehlt hier noch das Ergebnis von wc -l?
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 24, 2022, 4:37:06 PM4/24/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 24.04.22 um 21:40:
config.d da die html-Datei daraus erstellt wird. Kannst du mir mal bitte
deine config-Datei per PM zukommen lassen?
Damit kann ich dann in der Doku darauf aufmerksam machen, oder die
Fehler gleich per check in der createhtml ausmerzen.
Marcus Röckrath schrieb am 24.04.22 um 21:40:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>>>>> kommt eine nichtexistente URL raus:
>>>>>
>>>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
Ich finde den Fehler nicht. evtl. liegt an an den Eingaben in der
>
> Olaf Jaehrling wrote:
>
>>>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>>>>> kommt eine nichtexistente URL raus:
>>>>>
>>>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
config.d da die html-Datei daraus erstellt wird. Kannst du mir mal bitte
deine config-Datei per PM zukommen lassen?
Damit kann ich dann in der Doku darauf aufmerksam machen, oder die
Fehler gleich per check in der createhtml ausmerzen.
Olaf Jaehrling
Apr 24, 2022, 4:39:17 PM4/24/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 24.04.22 um 22:03:
hat sich da was am Logformat geändert und ich habe das noch nicht
mitbekommen.
Danke und Gruß
Olaf
>>>
>>> in den letzten beiden Tagen.
>>
>> Fehlt hier noch das Ergebnis von wc -l?
>
> Ja, :-))))) 380!
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 24.04.22 um 22:03:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>>
>>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
Lass mir bitte mal die Ausgabe des Befehls (ohne wc-l) zukommen. Evtl.
>
> Olaf Jaehrling wrote:
>
>>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>>
>>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
hat sich da was am Logformat geändert und ich habe das noch nicht
mitbekommen.
Danke und Gruß
Olaf
>>>
>>> in den letzten beiden Tagen.
>>
>> Fehlt hier noch das Ergebnis von wc -l?
>
> Ja, :-))))) 380!
>
--
Marcus Röckrath
Apr 24, 2022, 4:50:02 PM4/24/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>>>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>>>
>>>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>
> Lass mir bitte mal die Ausgabe des Befehls (ohne wc-l) zukommen. Evtl.
> hat sich da was am Logformat geändert und ich habe das noch nicht
> mitbekommen.
Hier eine Beispielzeile:
Olaf Jaehrling wrote:
>>>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>>>
>>>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>
> Lass mir bitte mal die Ausgabe des Befehls (ohne wc-l) zukommen. Evtl.
> hat sich da was am Logformat geändert und ich habe das noch nicht
> mitbekommen.
Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
80.94.92.14 port 39268
Im April insgesamt knapp 4000 Versuche von 65 IPs.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 25, 2022, 1:00:03 AM4/25/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>>>>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP
>>>>>> auf, kommt eine nichtexistente URL raus:
>>>>>>
>>>>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
>
> Ich finde den Fehler nicht. evtl. liegt an an den Eingaben in der
> config.d da die html-Datei daraus erstellt wird. Kannst du mir mal bitte
> deine config-Datei per PM zukommen lassen?
> Damit kann ich dann in der Doku darauf aufmerksam machen, oder die
> Fehler gleich per check in der createhtml ausmerzen.
Machen wir mal direkt hier, es reichen doch die Web-Einstellungen:
Olaf Jaehrling wrote:
>>>>>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP
>>>>>> auf, kommt eine nichtexistente URL raus:
>>>>>>
>>>>>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
>
> Ich finde den Fehler nicht. evtl. liegt an an den Eingaben in der
> config.d da die html-Datei daraus erstellt wird. Kannst du mir mal bitte
> deine config-Datei per PM zukommen lassen?
> Damit kann ich dann in der Doku darauf aufmerksam machen, oder die
> Fehler gleich per check in der createhtml ausmerzen.
BFB_REQUEST_BLOCKS_VIA_WEBSERVER='yes'
BFB_USE_APACHE_VERSION='2'
BFB_APACHE_DOCUMENTROOT='/var/www/htdocs'
BFB_HTML_INDEX_FOLDER='brute_force_blocking'
BFB_CGI_BIN_DOCUMENTROOT='/var/www/cgi-bin/auth'
BFB_HTML_REFRESH_PATH='./cgi-bin/auth/brute_force_blocking.cgi'
BFB_OWN_WEBDOMAIN_NAME='http://localhost'
BFB_SHOW_ATTACK_DETAILS_ON_WEB='yes'
BFB_WEBSERVER_LOGFILE_CLEAR='1 0 * * *'
in createiphtml, es geht doch um die und nicht createhtml, werden aus
blocked noch Variablen ausgelesen:
FOLDER=brute_force_blocking
BFB_USE_IPTABLES_NFTABLES=iptables
INDEX=/var/www/htdocs/brute_force_blocking
BFB_MAX_BLOCKING_TIME=no
BFB_BLOCK_PROACTIVE_FROM_ATMA=no
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 25, 2022, 1:10:03 AM4/25/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>> Vermute es hängt mit solchen Zeilen zusammen:
>>
>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>> kex_exchange_identification: client sent invalid protocol identifier "GET
>> / HTTP/1.1"<br>
>
> Jupp, das ist dann vermutlich noch ein Fehler. Damit hätte ich nicht
> gerechnet. Wer rechnet denn auch damit, dass jemand http via ssh
> ausführen will. :)
Der ssh läuft nicht auf Port 22; der Attacker grast wohl einfach ganze
Olaf Jaehrling wrote:
>> Vermute es hängt mit solchen Zeilen zusammen:
>>
>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>> kex_exchange_identification: client sent invalid protocol identifier "GET
>> / HTTP/1.1"<br>
>
> Jupp, das ist dann vermutlich noch ein Fehler. Damit hätte ich nicht
> gerechnet. Wer rechnet denn auch damit, dass jemand http via ssh
> ausführen will. :)
Portbereiche ab um Webserver zu finden; bei mir erwischt er halt dann den
ssh.
> Kannst du mir mal das Logfile zukommen lassen, wo diese Einträge drin
> stehen?
Apr 1 10:48:45 nepo-vw-server sshd[18705]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET
http://i.pixita.com/robots.txt HTTP/1.1"<br>
Apr 13 00:01:17 nepo-vw-server sshd[28676]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET
http://clientapi.ipip.net/echo.php?info=20220412220117 HTTP/1.1"
Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
kex_exchange_identification: client sent invalid protocol identifier "GET /
HTTP/1.1"
kex_exchange_identification: client sent invalid protocol identifier
"CONNECT google.com:443 HTTP/1.1"
Apr 24 10:51:50 nepo-vw-server sshd[15643]: error:
kex_exchange_identification: client sent invalid
protocol identifier "GET / HTTP/1.1"
wovon es im April ca. 90 gibt.
protocol identifier "GET / HTTP/1.1"
brute_force-blocking blocked dann:
Apr 24 10:52:01 nepo-vw-server BFB[17158]: address 1.1 blocked after 511
attempt to abuse SLOW_SSH_ATTACK
Hier stehen dann 511 Versuche, was vermutlich dran liegt, dass
brute_foce_blocking nun mittels der IP 1.1 auch viele weitere Zeilen aus
dem Log fischt, z. B.
Apr 1 08:12:27 nepo-vw-server imapd[7706]: imap service init from
192.168.100.101
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 25, 2022, 11:29:34 AM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 25.04.22 um 07:07:
warum BFB bei die den invalid User nicht blockt.
Marcus Röckrath schrieb am 25.04.22 um 07:07:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>> Vermute es hängt mit solchen Zeilen zusammen:
>>>
>>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>>> kex_exchange_identification: client sent invalid protocol identifier "GET
>>> / HTTP/1.1"<br>
Dieses Problem habe ich schon gefixt. Nun nur noch die html-Pfad und
>
> Olaf Jaehrling wrote:
>
>>> Vermute es hängt mit solchen Zeilen zusammen:
>>>
>>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>>> kex_exchange_identification: client sent invalid protocol identifier "GET
>>> / HTTP/1.1"<br>
warum BFB bei die den invalid User nicht blockt.
Marcus Röckrath
Apr 25, 2022, 12:00:03 PM4/25/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>>>> Vermute es hängt mit solchen Zeilen zusammen:
>>>>
>>>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>>>> kex_exchange_identification: client sent invalid protocol identifier
>>>> "GET / HTTP/1.1"<br>
>
> Dieses Problem habe ich schon gefixt.
Ok, ignorierst du dise Zeilen einfach, da sowieso keine IP enthalten ist?
Olaf Jaehrling wrote:
>>>> Vermute es hängt mit solchen Zeilen zusammen:
>>>>
>>>> Apr 13 00:35:54 nepo-vw-server sshd[14736]: error:
>>>> kex_exchange_identification: client sent invalid protocol identifier
>>>> "GET / HTTP/1.1"<br>
>
> Dieses Problem habe ich schon gefixt.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 25, 2022, 12:59:51 PM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 25.04.22 um 06:55:
>
> Machen wir mal direkt hier, es reichen doch die Web-Einstellungen:
>
> BFB_REQUEST_BLOCKS_VIA_WEBSERVER='yes'
> BFB_USE_APACHE_VERSION='2'
> BFB_APACHE_DOCUMENTROOT='/var/www/htdocs'
> BFB_HTML_INDEX_FOLDER='brute_force_blocking'
> BFB_CGI_BIN_DOCUMENTROOT='/var/www/cgi-bin/auth'
> BFB_HTML_REFRESH_PATH='./cgi-bin/auth/brute_force_blocking.cgi'
> BFB_OWN_WEBDOMAIN_NAME='http://localhost'
> BFB_SHOW_ATTACK_DETAILS_ON_WEB='yes'
> BFB_WEBSERVER_LOGFILE_CLEAR='1 0 * * *'
>
> in createiphtml, es geht doch um die und nicht createhtml, werden aus
> blocked noch Variablen ausgelesen:
>
> FOLDER=brute_force_blocking
> BFB_USE_IPTABLES_NFTABLES=iptables
> INDEX=/var/www/htdocs/brute_force_blocking
> BFB_MAX_BLOCKING_TIME=no
> BFB_BLOCK_PROACTIVE_FROM_ATMA=no
Auch wenn ich diese Variablen verwende bekomme ich nicht den falschen
Pfad angezeigt.
Was kommt denn für eine Ausgabe bei
/usr/local/brute_force_blocking/blocked READVAR
Marcus Röckrath schrieb am 25.04.22 um 06:55:
>
> Machen wir mal direkt hier, es reichen doch die Web-Einstellungen:
>
> BFB_REQUEST_BLOCKS_VIA_WEBSERVER='yes'
> BFB_USE_APACHE_VERSION='2'
> BFB_APACHE_DOCUMENTROOT='/var/www/htdocs'
> BFB_HTML_INDEX_FOLDER='brute_force_blocking'
> BFB_CGI_BIN_DOCUMENTROOT='/var/www/cgi-bin/auth'
> BFB_HTML_REFRESH_PATH='./cgi-bin/auth/brute_force_blocking.cgi'
> BFB_OWN_WEBDOMAIN_NAME='http://localhost'
> BFB_SHOW_ATTACK_DETAILS_ON_WEB='yes'
> BFB_WEBSERVER_LOGFILE_CLEAR='1 0 * * *'
>
> in createiphtml, es geht doch um die und nicht createhtml, werden aus
> blocked noch Variablen ausgelesen:
>
> FOLDER=brute_force_blocking
> BFB_USE_IPTABLES_NFTABLES=iptables
> INDEX=/var/www/htdocs/brute_force_blocking
> BFB_MAX_BLOCKING_TIME=no
> BFB_BLOCK_PROACTIVE_FROM_ATMA=no
Pfad angezeigt.
Was kommt denn für eine Ausgabe bei
/usr/local/brute_force_blocking/blocked READVAR
Olaf Jaehrling
Apr 25, 2022, 1:13:36 PM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 24.04.22 um 22:45:
am Gesamtbild liegen.
tail -n150 $authlog | sed -n '/\(Failed keyboard-interactive\|Invalid
user\|illegal user\|Failed publickey\|nonexistent user\|ad password
attempt\|ailed password\)/s/.*from\([^\]*\)port.*/\1/p' | sed 's/ //'g |
sed -n '/[0-9]/p'
80.94.92.14
Danke und Gruß
Olaf
>
> Im April insgesamt knapp 4000 Versuche von 65 IPs.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 24.04.22 um 22:45:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>>>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>>>>
>>>>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>>
>> Lass mir bitte mal die Ausgabe des Befehls (ohne wc-l) zukommen. Evtl.
>> hat sich da was am Logformat geändert und ich habe das noch nicht
>> mitbekommen.
>
> Hier eine Beispielzeile:
>
> Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
> 80.94.92.14 port 39268
Das nützt mir nichts. Mit nur diesen Syntax blockt BFB. Es kann also nur
>
> Olaf Jaehrling wrote:
>
>>>>> Hier keine Ausgabe weil sie ja nicht erkannt werden, aber
>>>>>
>>>>> grep "Invalid user" messages | grep sshd | grep 80.94.92.14 | wc -l
>>
>> Lass mir bitte mal die Ausgabe des Befehls (ohne wc-l) zukommen. Evtl.
>> hat sich da was am Logformat geändert und ich habe das noch nicht
>> mitbekommen.
>
> Hier eine Beispielzeile:
>
> Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
> 80.94.92.14 port 39268
am Gesamtbild liegen.
tail -n150 $authlog | sed -n '/\(Failed keyboard-interactive\|Invalid
user\|illegal user\|Failed publickey\|nonexistent user\|ad password
attempt\|ailed password\)/s/.*from\([^\]*\)port.*/\1/p' | sed 's/ //'g |
sed -n '/[0-9]/p'
80.94.92.14
Danke und Gruß
Olaf
>
> Im April insgesamt knapp 4000 Versuche von 65 IPs.
>
--
Marcus Röckrath
Apr 25, 2022, 2:10:02 PM4/25/22
to
Hallo
Olaf Jaehrling wrote:
>> FOLDER=brute_force_blocking
>> BFB_USE_IPTABLES_NFTABLES=iptables
>> INDEX=/var/www/htdocs/brute_force_blocking
>> BFB_MAX_BLOCKING_TIME=no
>> BFB_BLOCK_PROACTIVE_FROM_ATMA=no
>
> Auch wenn ich diese Variablen verwende bekomme ich nicht den falschen
> Pfad angezeigt.
>
> Was kommt denn für eine Ausgabe bei
> /usr/local/brute_force_blocking/blocked READVAR
Das was ich oben gepostet habe.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling wrote:
>> FOLDER=brute_force_blocking
>> BFB_USE_IPTABLES_NFTABLES=iptables
>> INDEX=/var/www/htdocs/brute_force_blocking
>> BFB_MAX_BLOCKING_TIME=no
>> BFB_BLOCK_PROACTIVE_FROM_ATMA=no
>
> Auch wenn ich diese Variablen verwende bekomme ich nicht den falschen
> Pfad angezeigt.
>
> Was kommt denn für eine Ausgabe bei
> /usr/local/brute_force_blocking/blocked READVAR
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 25, 2022, 2:10:02 PM4/25/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>> Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
>> 80.94.92.14 port 39268
>
> Das nützt mir nichts. Mit nur diesen Syntax blockt BFB. Es kann also nur
> am Gesamtbild liegen.
>
> tail -n150 $authlog | sed -n '/\(Failed keyboard-interactive\|Invalid
> user\|illegal user\|Failed publickey\|nonexistent user\|ad password
> attempt\|ailed password\)/s/.*from\([^\]*\)port.*/\1/p' | sed 's/ //'g |
> sed -n '/[0-9]/p'
> 80.94.92.14
Ein solcher Connectversuch liefert genau 2 Zeilen in der messages:
Olaf Jaehrling wrote:
>> Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
>> 80.94.92.14 port 39268
>
> Das nützt mir nichts. Mit nur diesen Syntax blockt BFB. Es kann also nur
> am Gesamtbild liegen.
>
> tail -n150 $authlog | sed -n '/\(Failed keyboard-interactive\|Invalid
> user\|illegal user\|Failed publickey\|nonexistent user\|ad password
> attempt\|ailed password\)/s/.*from\([^\]*\)port.*/\1/p' | sed 's/ //'g |
> sed -n '/[0-9]/p'
> 80.94.92.14
Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
80.94.92.14 port 57712
Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
user admin 80.94.92.14 port 57712 [preauth]
Übrigens lässt der sshd derzeit nur Logins per Schlüssel zu.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 25, 2022, 3:02:19 PM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 25.04.22 um 17:52:
Nein, ich filtere nach der PID und greppe z.B. HTTP raus.
Hier die entscheidenene Zeilen:
tail -n150 $authlog |grep $grepheute |grep -E "Failed
keyboard-interactive|illegal user|Failed publickey|ad password
attempt|Authentication failure|ailed password|nonexistent
user|kex_exchange_identification" | awk {'print $5'}| sed
s'/^.*[a-z]//;s/\[//;s/\]://'g | while read PID
do
_slow_check $PID
done
_slow_chech ()
IP=`grep -a sshd.$PID $authlog |grep $grepheute | awk -F"sshd" '{print
$2}'|grep -Ev "HTTP|disconnect" |grep -Eo
'([0-9\.]+\.+)+[0-9]+|([a-f0-9:]+:+)+[a-f0-9]+' | uniq`
Dadurch filtere ich die IPv[4|6] heraus und schaue dann ein paar Zeilen
weiter unten, ob diese IP es schon öfter und wenn ja wie oft versucht hat.
Somit kann BFB dann entscheiden ob ein threshold überschritten ist, also
ob blockiert werden soll, oder nicht.
Wenn dann noch BFB_BLOCK_PROACTIVE_FROM_DATABASE aktiviert ist, wird
diese IP in die Datenbanbk geschrieben und für
$BFB_DAY_TO_CLEAR_PROACTIVE_DATABASE Tage gesperrt
Marcus Röckrath schrieb am 25.04.22 um 17:52:
Hier die entscheidenene Zeilen:
tail -n150 $authlog |grep $grepheute |grep -E "Failed
keyboard-interactive|illegal user|Failed publickey|ad password
attempt|Authentication failure|ailed password|nonexistent
user|kex_exchange_identification" | awk {'print $5'}| sed
s'/^.*[a-z]//;s/\[//;s/\]://'g | while read PID
do
_slow_check $PID
done
_slow_chech ()
IP=`grep -a sshd.$PID $authlog |grep $grepheute | awk -F"sshd" '{print
$2}'|grep -Ev "HTTP|disconnect" |grep -Eo
'([0-9\.]+\.+)+[0-9]+|([a-f0-9:]+:+)+[a-f0-9]+' | uniq`
Dadurch filtere ich die IPv[4|6] heraus und schaue dann ein paar Zeilen
weiter unten, ob diese IP es schon öfter und wenn ja wie oft versucht hat.
Somit kann BFB dann entscheiden ob ein threshold überschritten ist, also
ob blockiert werden soll, oder nicht.
Wenn dann noch BFB_BLOCK_PROACTIVE_FROM_DATABASE aktiviert ist, wird
diese IP in die Datenbanbk geschrieben und für
$BFB_DAY_TO_CLEAR_PROACTIVE_DATABASE Tage gesperrt
Olaf Jaehrling
Apr 25, 2022, 3:14:18 PM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 25.04.22 um 20:00:
Hmmm dann weiß ich auch nicht. Das sind genau die Variablen, welche vom
Script verwendet werden.
Da bleibt mir nur noch eine Idee. lösche die index.html, gehe ins setup
und aktiviere die Konfig neu. Du meinst doch die index.html wenn du
Übersichtsseite schreibst, oder?
Wenn du die cgi meinst, dann lösche die mal aus dem cgi-Ordner.
oder lösche einfach beide Dateien. :)
Marcus Röckrath schrieb am 25.04.22 um 20:00:
Script verwendet werden.
Da bleibt mir nur noch eine Idee. lösche die index.html, gehe ins setup
und aktiviere die Konfig neu. Du meinst doch die index.html wenn du
Übersichtsseite schreibst, oder?
Wenn du die cgi meinst, dann lösche die mal aus dem cgi-Ordner.
oder lösche einfach beide Dateien. :)
Olaf Jaehrling
Apr 25, 2022, 4:03:50 PM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 25.04.22 um 20:08:
Ist es wirklich zu viel verlangt mit mal das Logfile mit ALLEN Einträgen
von dieser IP zukommen zu lassen?
Gruß
Olaf
>
> Übrigens lässt der sshd derzeit nur Logins per Schlüssel zu.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 25.04.22 um 20:08:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>> Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
>>> 80.94.92.14 port 39268
>>
>> Das nützt mir nichts. Mit nur diesen Syntax blockt BFB. Es kann also nur
>> am Gesamtbild liegen.
>>
>> tail -n150 $authlog | sed -n '/\(Failed keyboard-interactive\|Invalid
>> user\|illegal user\|Failed publickey\|nonexistent user\|ad password
>> attempt\|ailed password\)/s/.*from\([^\]*\)port.*/\1/p' | sed 's/ //'g |
>> sed -n '/[0-9]/p'
>> 80.94.92.14
>
> Ein solcher Connectversuch liefert genau 2 Zeilen in der messages:
>
> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
> 80.94.92.14 port 57712
> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
> user admin 80.94.92.14 port 57712 [preauth]
Ja, ist klar. Aber bei einem Versuch blockt BFB ja auch noch nicht.
>
> Olaf Jaehrling wrote:
>
>>> Apr 24 22:43:47 nepo-vw-server sshd[15168]: Invalid user hyu from
>>> 80.94.92.14 port 39268
>>
>> Das nützt mir nichts. Mit nur diesen Syntax blockt BFB. Es kann also nur
>> am Gesamtbild liegen.
>>
>> tail -n150 $authlog | sed -n '/\(Failed keyboard-interactive\|Invalid
>> user\|illegal user\|Failed publickey\|nonexistent user\|ad password
>> attempt\|ailed password\)/s/.*from\([^\]*\)port.*/\1/p' | sed 's/ //'g |
>> sed -n '/[0-9]/p'
>> 80.94.92.14
>
> Ein solcher Connectversuch liefert genau 2 Zeilen in der messages:
>
> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
> 80.94.92.14 port 57712
> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
> user admin 80.94.92.14 port 57712 [preauth]
Ist es wirklich zu viel verlangt mit mal das Logfile mit ALLEN Einträgen
von dieser IP zukommen zu lassen?
Gruß
Olaf
>
> Übrigens lässt der sshd derzeit nur Logins per Schlüssel zu.
>
--
Marcus Röckrath
Apr 25, 2022, 4:10:03 PM4/25/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
> Da bleibt mir nur noch eine Idee. lösche die index.html, gehe ins setup
> und aktiviere die Konfig neu. Du meinst doch die index.html wenn du
> Übersichtsseite schreibst, oder?
> Wenn du die cgi meinst, dann lösche die mal aus dem cgi-Ordner.
> oder lösche einfach beide Dateien. :)
In createiphtml wird die href mit .././$folder/ gebildet, was nur
> und aktiviere die Konfig neu. Du meinst doch die index.html wenn du
> Übersichtsseite schreibst, oder?
> Wenn du die cgi meinst, dann lösche die mal aus dem cgi-Ordner.
> oder lösche einfach beide Dateien. :)
funktioniert, wenn als cgi-bin direkt auch cgi-bin gewählt ist.
Ich habe aber cgi-bin/auth, was dann in createiphetml erfordert:
../.././$folder/...
Relativ funktioniert also nicht, warum nicht absolut:
$folder/...
denn das funktioniert hier.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 25, 2022, 4:30:02 PM4/25/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
>> 80.94.92.14 port 57712
>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
>> user admin 80.94.92.14 port 57712 [preauth]
>
> Ja, ist klar. Aber bei einem Versuch blockt BFB ja auch noch nicht.
>
> Ist es wirklich zu viel verlangt mit mal das Logfile mit ALLEN Einträgen
> von dieser IP zukommen zu lassen?
Was genau?
Olaf Jaehrling wrote:
>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
>> 80.94.92.14 port 57712
>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
>> user admin 80.94.92.14 port 57712 [preauth]
>
> Ja, ist klar. Aber bei einem Versuch blockt BFB ja auch noch nicht.
>
> Ist es wirklich zu viel verlangt mit mal das Logfile mit ALLEN Einträgen
> von dieser IP zukommen zu lassen?
grep "ip" messages?
Da das ein dienstliches System ist, würde ich nicht die gesamte messages
rausgeben.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 25, 2022, 6:47:36 PM4/25/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 25.04.22 um 22:23:
Gruß
Olaf
>
> Da das ein dienstliches System ist, würde ich nicht die gesamte messages
> rausgeben.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 25.04.22 um 22:23:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
>>> 80.94.92.14 port 57712
>>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
>>> user admin 80.94.92.14 port 57712 [preauth]
>>
>> Ja, ist klar. Aber bei einem Versuch blockt BFB ja auch noch nicht.
>>
>> Ist es wirklich zu viel verlangt mit mal das Logfile mit ALLEN Einträgen
>> von dieser IP zukommen zu lassen?
>
> Was genau?
>
> grep "ip" messages?
jupp. Und nur per PM bitte.
>
> Olaf Jaehrling wrote:
>
>>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Invalid user admin from
>>> 80.94.92.14 port 57712
>>> Apr 25 19:54:56 nepo-vw-server sshd[12765]: Connection closed by invalid
>>> user admin 80.94.92.14 port 57712 [preauth]
>>
>> Ja, ist klar. Aber bei einem Versuch blockt BFB ja auch noch nicht.
>>
>> Ist es wirklich zu viel verlangt mit mal das Logfile mit ALLEN Einträgen
>> von dieser IP zukommen zu lassen?
>
> Was genau?
>
> grep "ip" messages?
Gruß
Olaf
>
> Da das ein dienstliches System ist, würde ich nicht die gesamte messages
> rausgeben.
>
--
Olaf Jaehrling
Apr 26, 2022, 5:38:53 AM4/26/22
to
Hallo Marcus,
Am 25.04.22 um 22:09 schrieb Marcus Röckrath:
Ich ändere das mal. Das war auch mal so, ich weiß nur nicht mehr warum
ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
Danke für die Analyse
Gruß
Olaf
>
Am 25.04.22 um 22:09 schrieb Marcus Röckrath:
ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
Danke für die Analyse
Gruß
Olaf
>
Marcus Röckrath
Apr 26, 2022, 11:00:03 AM4/26/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
>> Ich habe aber cgi-bin/auth, was dann in createiphetml erfordert:
>>
>> ../.././$folder/...
>>
>> Relativ funktioniert also nicht, warum nicht absolut:
>>
>> $folder/...
>>
>> denn das funktioniert hier.
wobei absolut natürlich / am Anfang heißen müsste.
Olaf Jaehrling wrote:
>> Ich habe aber cgi-bin/auth, was dann in createiphetml erfordert:
>>
>> ../.././$folder/...
>>
>> Relativ funktioniert also nicht, warum nicht absolut:
>>
>> $folder/...
>>
>> denn das funktioniert hier.
> Ich ändere das mal. Das war auch mal so, ich weiß nur nicht mehr warum
> ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
> Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 27, 2022, 3:48:27 PM4/27/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 26.04.22 um 16:59:
> Hallo Olaf,
Marcus Röckrath schrieb am 26.04.22 um 16:59:
> Hallo Olaf,
>
>
>> Ich ändere das mal. Das war auch mal so, ich weiß nur nicht mehr warum
>> ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
>> Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
>
> Kommt vor und x-Jahre später weiß man nicht mehr warum.
Die neue Version ist draussen.
>
>> Ich ändere das mal. Das war auch mal so, ich weiß nur nicht mehr warum
>> ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
>> Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
>
> Kommt vor und x-Jahre später weiß man nicht mehr warum.
Marcus Röckrath
Apr 27, 2022, 4:30:02 PM4/27/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>>> Ich ändere das mal. Das war auch mal so, ich weiß nur nicht mehr warum
>>> ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
>>> Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
>>
>> Kommt vor und x-Jahre später weiß man nicht mehr warum.
>
> Die neue Version ist draussen.
Bekomme beim Update oder Aufruf der Konfiguration
>>> ich das geändert hatte. Schau mal mal. vll. lag es ja mal an der
>>> Apacheversion, dass das seinerzeit nicht sauber funktioniert hat.
>>
>> Kommt vor und x-Jahre später weiß man nicht mehr warum.
>
> Die neue Version ist draussen.
...
Parse error near line 1021: database is locked (5)
Press ENTER to continue Error: in prepare, database is locked (5)
Error: in prepare, database is locked (5)
Hängt es damit zusammen, dass die Erstellung der DB wegen der beiden
eigentragen /32 Free-Netze zu lange dauert?
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Apr 27, 2022, 4:40:03 PM4/27/22
to
Hallo Olaf,
Marcus Röckrath wrote:
> ...
> Parse error near line 1021: database is locked (5)
> Press ENTER to continue Error: in prepare, database is locked (5)
> Error: in prepare, database is locked (5)
>
> Hängt es damit zusammen, dass die Erstellung der DB wegen der beiden
> eigentragen /32 Free-Netze zu lange dauert?
/24 natürlich.
Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der db
auf.
BFB_FREE_IP_GROUP_N='1'
BFB_FREE_IP_GROUP_1='192.168.1.0/24'
BFB_FREE_IP_GROUP_2='192.168.2.0/24'
Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
mehr berücksichtigt werden, wurde sie aber.
Das .2 verschand erst, nachdem ich manuell den Eintag komplett aus der
Config entfernt hatte.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath wrote:
> ...
> Parse error near line 1021: database is locked (5)
> Press ENTER to continue Error: in prepare, database is locked (5)
> Error: in prepare, database is locked (5)
>
> Hängt es damit zusammen, dass die Erstellung der DB wegen der beiden
> eigentragen /32 Free-Netze zu lange dauert?
Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der db
auf.
BFB_FREE_IP_GROUP_N='1'
BFB_FREE_IP_GROUP_1='192.168.1.0/24'
BFB_FREE_IP_GROUP_2='192.168.2.0/24'
Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
mehr berücksichtigt werden, wurde sie aber.
Das .2 verschand erst, nachdem ich manuell den Eintag komplett aus der
Config entfernt hatte.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 28, 2022, 2:19:45 PM4/28/22
to
Hallo Marcus,
Marcus Röckrath schrieb am 27.04.22 um 22:35:
keine Möglichkeit des Delay wenn gerade was anderes auf die Datenbank
zugreift. Wenn BFB also in dieser Zeit einen Zugriff macht (z.B. mit
show) dann kann nicht gleichzeitig ein anderer Prozess was in die
Datenbank schreiben. iptables bietet das die Option -w, aber sowas gibt
es bei splite3 nicht. Ich habe schon mit flock versucht ein wait
einzbauen, aber selbst das reicht einfach manchmal nicht.
Wenn das im setup gemacht wird sollte das das init-script (ab Zeile1711)
bemerken und die Datenbank neu befüllen.
Danke und Gruß
Olaf
>
> Das .2 verschand erst, nachdem ich manuell den Eintag komplett aus der
> Config entfernt hatte.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 27.04.22 um 22:35:
> Hallo Olaf,
>
> Marcus Röckrath wrote:
>
>> ...
>> Parse error near line 1021: database is locked (5)
>> Press ENTER to continue Error: in prepare, database is locked (5)
>> Error: in prepare, database is locked (5)
Tja, das passiert bei besonders großen Netzen. sqlite3 bietet leider
>
> Marcus Röckrath wrote:
>
>> ...
>> Parse error near line 1021: database is locked (5)
>> Press ENTER to continue Error: in prepare, database is locked (5)
>> Error: in prepare, database is locked (5)
keine Möglichkeit des Delay wenn gerade was anderes auf die Datenbank
zugreift. Wenn BFB also in dieser Zeit einen Zugriff macht (z.B. mit
show) dann kann nicht gleichzeitig ein anderer Prozess was in die
Datenbank schreiben. iptables bietet das die Option -w, aber sowas gibt
es bei splite3 nicht. Ich habe schon mit flock versucht ein wait
einzbauen, aber selbst das reicht einfach manchmal nicht.
>>
>> Hängt es damit zusammen, dass die Erstellung der DB wegen der beiden
>> eigentragen /32 Free-Netze zu lange dauert?
>
> /24 natürlich.
>
> Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der db
> auf.
>
> BFB_FREE_IP_GROUP_N='1'
> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>
> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
> mehr berücksichtigt werden, wurde sie aber.
Hast du das im setup geändert oder händisch?
>> Hängt es damit zusammen, dass die Erstellung der DB wegen der beiden
>> eigentragen /32 Free-Netze zu lange dauert?
>
> /24 natürlich.
>
> Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der db
> auf.
>
> BFB_FREE_IP_GROUP_N='1'
> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>
> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
> mehr berücksichtigt werden, wurde sie aber.
Wenn das im setup gemacht wird sollte das das init-script (ab Zeile1711)
bemerken und die Datenbank neu befüllen.
Danke und Gruß
Olaf
>
> Das .2 verschand erst, nachdem ich manuell den Eintag komplett aus der
> Config entfernt hatte.
>
--
Marcus Röckrath
Apr 28, 2022, 2:30:03 PM4/28/22
to
Hallo Olaf,
Olaf Jaehrling wrote:
Olaf Jaehrling wrote:
>> Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der
>> db auf.
>>
>> BFB_FREE_IP_GROUP_N='1'
>> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
>> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>>
>> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
>> mehr berücksichtigt werden, wurde sie aber.
>
> Hast du das im setup geändert oder händisch?
> Wenn das im setup gemacht wird sollte das das init-script (ab Zeile1711)
> bemerken und die Datenbank neu befüllen.
Nachdem es bei Änderung über das Setup nicht zu einer Korrektur der DB kam,
>> db auf.
>>
>> BFB_FREE_IP_GROUP_N='1'
>> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
>> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>>
>> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
>> mehr berücksichtigt werden, wurde sie aber.
>
> Hast du das im setup geändert oder händisch?
> Wenn das im setup gemacht wird sollte das das init-script (ab Zeile1711)
> bemerken und die Datenbank neu befüllen.
habe ich in der Konfiguration die zweite (nun unnötige) Netzdefinition
händisch entfernt.
Danach blieb bei Aufruf der Konfiguration aber auch noch das zweite Netz
drin; habe dann auch die DB brutal gelöscht, was mir das Paket aber
übelgenommen hat, worauf ich das Paket drübergebügelt habe.
Dann wars ok.
--
Gruß Marcus
[eisfair-Team]
Olaf Jaehrling
Apr 28, 2022, 5:00:57 PM4/28/22
to
Hallo Markus,
Marcus Röckrath schrieb am 28.04.22 um 20:27:
Das muss ich mir nachmal anschauen.
>>
>> Hast du das im setup geändert oder händisch?
>> Wenn das im setup gemacht wird sollte das das init-script (ab Zeile1711)
>> bemerken und die Datenbank neu befüllen.
>
> Nachdem es bei Änderung über das Setup nicht zu einer Korrektur der DB kam,
> habe ich in der Konfiguration die zweite (nun unnötige) Netzdefinition
> händisch entfernt.
>
> Danach blieb bei Aufruf der Konfiguration aber auch noch das zweite Netz
> drin; habe dann auch die DB brutal gelöscht, was mir das Paket aber
> übelgenommen hat, worauf ich das Paket drübergebügelt habe.
Hmm, Auszug aus der Doku:
Die Datenbank kann mit dem Befehl
/usr/local/brute_force_blocking/bfb-db.sh OPTION
abgefragt werden.
Folgenden Optionen gibt es
init [option] # erstellt eine neue Datenbank
# option force erstellt eine neue Datenbank und ueberschreibt
# eine evtl. vorhandene Datenbank
Das hätte Dir viel Arbeit erspart :)
Noch einfacher (aber noch nicht in der Doku
/etc/init.d/brute_force_blocking renew_freedb
Danke und Gruß
Olaf
>
> Dann wars ok.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Marcus Röckrath schrieb am 28.04.22 um 20:27:
> Hallo Olaf,
>
> Olaf Jaehrling wrote:
>
>>> Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der
>>> db auf.
>>>
>>> BFB_FREE_IP_GROUP_N='1'
>>> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
>>> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>>>
>>> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
>>> mehr berücksichtigt werden, wurde sie aber.
Stimmt, wenn man es über das setup macht übernimmt er das nicht.
>
> Olaf Jaehrling wrote:
>
>>> Habe mal eines rausgenommen, aber es tauchte dann trotzdem weiter in der
>>> db auf.
>>>
>>> BFB_FREE_IP_GROUP_N='1'
>>> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
>>> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>>>
>>> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch nicht
>>> mehr berücksichtigt werden, wurde sie aber.
Das muss ich mir nachmal anschauen.
>>
>> Hast du das im setup geändert oder händisch?
>> Wenn das im setup gemacht wird sollte das das init-script (ab Zeile1711)
>> bemerken und die Datenbank neu befüllen.
>
> Nachdem es bei Änderung über das Setup nicht zu einer Korrektur der DB kam,
> habe ich in der Konfiguration die zweite (nun unnötige) Netzdefinition
> händisch entfernt.
>
> Danach blieb bei Aufruf der Konfiguration aber auch noch das zweite Netz
> drin; habe dann auch die DB brutal gelöscht, was mir das Paket aber
> übelgenommen hat, worauf ich das Paket drübergebügelt habe.
Die Datenbank kann mit dem Befehl
/usr/local/brute_force_blocking/bfb-db.sh OPTION
abgefragt werden.
Folgenden Optionen gibt es
init [option] # erstellt eine neue Datenbank
# option force erstellt eine neue Datenbank und ueberschreibt
# eine evtl. vorhandene Datenbank
Das hätte Dir viel Arbeit erspart :)
Noch einfacher (aber noch nicht in der Doku
/etc/init.d/brute_force_blocking renew_freedb
Danke und Gruß
Olaf
>
> Dann wars ok.
>
--
Paketserver: https://ojaehrling.de/eis/index.txt
Olaf Jaehrling
Apr 29, 2022, 10:49:05 AM4/29/22
to
Hallo Marcus,
Olaf Jaehrling schrieb am 28.04.22 um 23:00:
>>>>
>>>> BFB_FREE_IP_GROUP_N='1'
>>>> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
>>>> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>>>>
>>>> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch
>>>> nicht
>>>> mehr berücksichtigt werden, wurde sie aber.
>
> Stimmt, wenn man es über das setup macht übernimmt er das nicht.
> Das muss ich mir nachmal anschauen.
Der Fehler ist behoben. Es lag an einer falschen Reihenfolge.
Auch das das debug-log-file angelegt wurde, obwohl run_in_debugmode=no
habe ich gefixed.
Die Datenbank lässt sich jetzt mittels initscript reinitialisieren und
oder die Free-Einträge erneuern. Siehe dazu die Doku. Einen Menüeintrag
gibt es dafür noch nicht.
Das kommt in einer der nächsten Versionen.
Danke für deine Mühe.
Olaf Jaehrling schrieb am 28.04.22 um 23:00:
>>>>
>>>> BFB_FREE_IP_GROUP_N='1'
>>>> BFB_FREE_IP_GROUP_1='192.168.1.0/24'
>>>> BFB_FREE_IP_GROUP_2='192.168.2.0/24'
>>>>
>>>> Eigentlich sollte, da der Zähler auf 1 steht, die zweite Group doch
>>>> nicht
>>>> mehr berücksichtigt werden, wurde sie aber.
>
> Stimmt, wenn man es über das setup macht übernimmt er das nicht.
> Das muss ich mir nachmal anschauen.
Auch das das debug-log-file angelegt wurde, obwohl run_in_debugmode=no
habe ich gefixed.
Die Datenbank lässt sich jetzt mittels initscript reinitialisieren und
oder die Free-Einträge erneuern. Siehe dazu die Doku. Einen Menüeintrag
gibt es dafür noch nicht.
Das kommt in einer der nächsten Versionen.
Danke für deine Mühe.
Olaf Jaehrling
Apr 29, 2022, 11:44:26 AM4/29/22
to
Nochmal hallo,
Olaf Jaehrling schrieb am 29.04.22 um 16:49:
hochgeladen.
Olaf Jaehrling schrieb am 29.04.22 um 16:49:
> Hallo Marcus,
>
> Olaf Jaehrling schrieb am 28.04.22 um 23:00:
>
> Olaf Jaehrling schrieb am 28.04.22 um 23:00:
> Die Datenbank lässt sich jetzt mittels initscript reinitialisieren und
> oder die Free-Einträge erneuern. Siehe dazu die Doku. Einen Menüeintrag
> gibt es dafür noch nicht.
> Das kommt in einer der nächsten Versionen.
Ach, hab ich doch gleich noch fertig gemacht und eine neu Version
> oder die Free-Einträge erneuern. Siehe dazu die Doku. Einen Menüeintrag
> gibt es dafür noch nicht.
> Das kommt in einer der nächsten Versionen.
hochgeladen.
0 new messages