Autor Thema: FHEM-Hacker mit fail2ban blocken  (Gelesen 11088 mal)

Offline Tom111

  • Sr. Member
  • ****
  • Beiträge: 531
  • Das Ziel ist das Ziel :D
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #30 am: 18 Februar 2018, 22:07:14 »
Das blocking sollte eigentlich nun gehen. Blockt er immer noch nicht?

Er blockt nur wenn ich folgende Zeile weg lasse:
%(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp]
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-4.19.66+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.01 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Offline dirigent

  • Sr. Member
  • ****
  • Beiträge: 557
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #31 am: 19 Februar 2018, 17:23:46 »
@Tom

Die UDP-Regel hatte ich aus dem Standard mitkopiert und sie wird nicht wirklich benötigt. Du kannst sie auch weglassen. Allerdings halte ich es für wichtig, dass in fail2ban das UDP- parallel zum TCP-Blocking fehlerfrei funktioniert.

Gruß Jens
« Letzte Änderung: 19 Februar 2018, 17:26:46 von dirigent »
Debian auf APU2C4, HM-CFG-USB2, SIGNALduino, HM-ES-PMSw1-Pl, AB440S, AB440R, TFA 30.3121, TFA 30.3125, ITS-150, PIR-5000, configurable Firmata USB & LAN, 1-wire: DS-18B20, DS-18S20, DS-2408, DS-2413, diverse I2C-Komponenten
Gefällt mir Gefällt mir x 1 Liste anzeigen

Offline Tom111

  • Sr. Member
  • ****
  • Beiträge: 531
  • Das Ziel ist das Ziel :D
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #32 am: 19 Februar 2018, 17:45:25 »
@Tom

Die UDP-Regel hatte ich aus dem Standard mitkopiert und sie wird nicht wirklich benötigt. Du kannst sie auch weglassen. Allerdings halte ich es für wichtig, dass in fail2ban das UDP- parallel zum TCP-Blocking fehlerfrei funktioniert.

Gruß Jens
Ich lass diese Regel dann mal weg, scheint ja soweit super zu funktionieren. Danke nochmals für den bereitgestellten Code.
Was aber noch interessant wäre, wenn ich IP-Adressen mit einer Liste dauerhaft blockieren könnte.
Ich hab das ganze mal mit einer Blacklist versucht, (habe ich von https://github.com/sergejmueller/sergejmueller.github.io/wiki/Fail2Ban:-IP-Blacklist) das funktioniert aber nicht bei/mit FHEM.

Hast du da evtl. auch eine Lösung?   ;)

Gruß
Tom
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-4.19.66+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.01 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Offline dirigent

  • Sr. Member
  • ****
  • Beiträge: 557
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #33 am: 19 Februar 2018, 18:12:38 »
Dauerhaft finde ich nicht so gut. Irgendwann bekommst du zufällig die IP zugewiesen (z.B. auf dem Handy) und wirst selbst gesperrt.
Mit der Sperre von einem Tag und einem nicht ganz so leichten Kennwort bekommt jeder Hacker oder Hacker-PC graue Haare. Auf jeden Fall sollte "bantime = -1" funktionieren.
Aber einen Versuch habe ich noch  ;D.
Mir ist aufgefallen, dass bei dir "backend = Gamin" genutzt wird. Vielleicht kommt der mit der config nicht klar.
Gib mal unter "port = 8083" folgendes ein:
backend = pyinotify

Gruß Jens
Debian auf APU2C4, HM-CFG-USB2, SIGNALduino, HM-ES-PMSw1-Pl, AB440S, AB440R, TFA 30.3121, TFA 30.3125, ITS-150, PIR-5000, configurable Firmata USB & LAN, 1-wire: DS-18B20, DS-18S20, DS-2408, DS-2413, diverse I2C-Komponenten
Gefällt mir Gefällt mir x 1 Liste anzeigen

Offline Tom111

  • Sr. Member
  • ****
  • Beiträge: 531
  • Das Ziel ist das Ziel :D
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #34 am: 19 Februar 2018, 18:22:11 »
Dauerhaft finde ich nicht so gut. Irgendwann bekommst du zufällig die IP zugewiesen (z.B. auf dem Handy) und wirst selbst gesperrt.
Mit der Sperre von einem Tag und einem nicht ganz so leichten Kennwort bekommt jeder Hacker oder Hacker-PC graue Haare. Auf jeden Fall sollte "bantime = -1" funktionieren.
Aber einen Versuch habe ich noch  ;D.
Mir ist aufgefallen, dass bei dir "backend = Gamin" genutzt wird. Vielleicht kommt der mit der config nicht klar.
Gib mal unter "port = 8083" folgendes ein:
backend = pyinotify

Gruß Jens

Hab ich gemacht, bringt leider auch nichts.  :-\

Gruß
Tom
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-4.19.66+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.01 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Offline Tom111

  • Sr. Member
  • ****
  • Beiträge: 531
  • Das Ziel ist das Ziel :D
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #35 am: 19 Februar 2018, 18:25:05 »
Ich setz mal hier die komplette jail.local rein, vielleicht ist da ja irgendwo ein Fehler drin:

# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision$
#

# The DEFAULT allows a global definition of the options. They can be overridden
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1/8 192.168.xxx.xxx/32 192.168.xxx.xxx/32
bantime  = 86400
maxretry = 2

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = auto

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overridden globally or per
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

# Specify chain where jumps would need to be added in iptables-* actions
chain = INPUT

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME]
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 2

[dropbear]

enabled  = false
port     = ssh
filter   = sshd
logpath  = /var/log/dropbear
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled  = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter   = pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port     = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled  = false
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled  = false
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled  = false
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled  = false
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[pure-ftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = pure-ftpd
logpath  = /var/log/auth.log
maxretry = 6


[wuftpd]

enabled  = false
port     = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port     = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

[dovecot]

enabled = false
port    = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter  = dovecot
logpath = /var/log/mail.log

# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connection-less protocol, spoofing of IP and imitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

[fhem]
enabled  = true
port     = 8083
action   = %(banaction)s[name=%(__name__)s-tcp, port="%(port)s", protocol="tcp", chain="%(chain)s", actname=%(banaction)s-tcp]
           %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s"]
filter   = fhem
logpath  = /opt/fhem/log/fhem-20*
maxretry = 2
bantime = 86400

[ip-blacklist]

enabled   = true
banaction = iptables-allports
port      = anyport
filter    = ip-blacklist
logpath   = /etc/fail2ban/ip.blacklist
maxretry  = 0
findtime  = 15552000
bantime   = -1
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-4.19.66+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.01 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Offline Tom111

  • Sr. Member
  • ****
  • Beiträge: 531
  • Das Ziel ist das Ziel :D
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #36 am: 19 Februar 2018, 18:41:05 »
Komischerweise bekommt fail2ban alles mit und schreibt die Versuche auch ins Log,

Hi,\n
The IP 78.48.xxx.xxx has just been banned by Fail2Ban after
22 attempts against fhem.\n\n
Here are more information about 78.48.xxx.xxx:\n
`/usr/bin/whois 78.48.xxx.xxx`\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban root@localhost returned 7f00
pi@RasPi2 ~ $
Die 22 Versuche habe ich mit der eingefügten UDP Zeile gemacht!,

wenn ich die folgende Zeile entferne blockt fail2ban auch
%(banaction)s[name=%(__name__)s-udp, port="%(port)s", protocol="udp", chain="%(chain)s", actname=%(banaction)s-udp]
« Letzte Änderung: 19 Februar 2018, 18:43:01 von Tom111 »
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-4.19.66+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.01 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Offline dirigent

  • Sr. Member
  • ****
  • Beiträge: 557
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #37 am: 19 Februar 2018, 18:50:49 »
Danke für dein geduldiges Testen!  :)

Es wird auch soweit alles richtig ausgeführt. Nur der iptables scheint nicht richtig aufgerufen zu werden - warum auch immer.
Hast du das mal probiert?
Füge mal unter "port = 8083" eine Zeile mit "banaction = iptables" ein.

Deine jail.local sieht gut aus, auch wenn ich auf [ip-blacklist] verzichtet hätte.

Die UDP-Zeile nehme ich dann aus dem Beispiel raus - nicht dass es noch andere trifft.

Gruß Jens

Debian auf APU2C4, HM-CFG-USB2, SIGNALduino, HM-ES-PMSw1-Pl, AB440S, AB440R, TFA 30.3121, TFA 30.3125, ITS-150, PIR-5000, configurable Firmata USB & LAN, 1-wire: DS-18B20, DS-18S20, DS-2408, DS-2413, diverse I2C-Komponenten
Gefällt mir Gefällt mir x 1 Liste anzeigen

Offline Tom111

  • Sr. Member
  • ****
  • Beiträge: 531
  • Das Ziel ist das Ziel :D
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #38 am: 19 Februar 2018, 19:07:30 »
Danke für dein geduldiges Testen!  :)

Es wird auch soweit alles richtig ausgeführt. Nur der iptables scheint nicht richtig aufgerufen zu werden - warum auch immer.
Hast du das mal probiert?
Zitat
Füge mal unter "port = 8083" eine Zeile mit "banaction = iptables" ein.
hab ich gemacht, sieht jetzt so aus:
Date: `date -u +"%a, %d %h %Y %T +0000"`
From: Fail2Ban <fail2ban>
To: root@localhost\n
Hi,\n
The jail fhem has been started successfully.\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban root@localhost returned 7f00
2018-02-19 18:58:08,212 fail2ban.actions: WARNING [ip-blacklist] Ban 81.169.xxx.xxx
2018-02-19 18:58:10,164 fail2ban.actions: WARNING [fhem] Ban 185.182.xxx.xxx
2018-02-19 18:58:10,307 fail2ban.actions.action: ERROR  printf %b "Subject: [Fail2Ban] fhem: banned 185.182.xxx.xxx
Date: `date -u +"%a, %d %h %Y %T +0000"`
From: Fail2Ban <fail2ban>
To: root@localhost\n
Hi,\n
The IP 185.182.xxx.xxx has just been banned by Fail2Ban after
7 attempts against fhem.\n\n
Here are more information about 185.182.xxx.xxx:\n
`/usr/bin/whois 185.182.xxx.xxx`\n
Regards,\n
Fail2Ban" | /usr/sbin/sendmail -f fail2ban root@localhost returned 7f00

Also wenn diese UDP-Zeile nicht unbedingt benötigt wird dann lass ich sie halt weg, es klappt ja sonst soweit.

ICH muss mich bei dir bedanken, so bin ich schon mal ein ganzes Stück sicherer unterwegs, alleine hätte ich das nicht hinbekommen!  :D
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-4.19.66+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.01 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V
Gefällt mir Gefällt mir x 1 Liste anzeigen

Offline vbs

  • Hero Member
  • *****
  • Beiträge: 2311
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #39 am: 01 März 2018, 19:12:21 »
Ich glaube es wurde noch nicht erwähnt:
Richtig Spaß macht fail2ban in Verbindung mit blocklist.de:
Blocklist ist ein Dienst der stundengenaue Listen mit IP-Adressen pflegt, von denen momentan "böswillige" Aktionen ausgehen. Es gibt dann Scripte, die die Listen regelmäßig runterladen und damit die eigene Firewall füttern, so dass diese IP-Addressen automatisch von der Firewall draußen gehalten werden.

Der Clou wiederum (und darum ist es gut, wenn so viele Leute wie möglich mitmachen): Es gibt fail2ban-Actions die solche "Abuser" automatisch an blocklist.de melden. Sprich: wenn eine bestimmte IP bei einem fail2ban-User auffällt und gebannt wird, dann wird die IP an blocklist.de gemeldet und in deren DB eingepflegt. Bei anderen Usern, die die Listen von blocklist.de beziehen, wird diese IP dann automatisch auch gesperrt.

Als Extra-Bonus schreibt blocklist.de auch automatisch eine Abuse-Mail an den verantwortlichen Hoster der IP, wenn man eine IP meldet.

https://www.blocklist.de/de/index.html

Zum Importieren der blocklist-Liste benutze ich das hier:
https://github.com/kubax/blocklist-with-nftables
Gefällt mir Gefällt mir x 1 Hilfreich Hilfreich x 1 Liste anzeigen

Online CoolTux

  • Developer
  • Hero Member
  • ****
  • Beiträge: 22089
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #40 am: 01 März 2018, 19:16:45 »
Gott sei Dank brauch man sowas nicht wenn man den Ansatz verfolgt, alles blocken und benötigtes freischalten.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://paypal.me/pools/c/8gULisr9BT
FHEM GitHub: https://github.com/fhem/
kein Support für cfg Editierer

Offline xploderpro

  • New Member
  • *
  • Beiträge: 3
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #41 am: 03 April 2018, 22:43:54 »
Habe noch mal eine Frage an die Profis hier :)

Ich habe Fail2Ban wie im ersten Beitrag eingerichtet. Funktioniert auch alles wunderbar, danke dafür. Nun habe ich aber das Thema, dass meine FHEM Log-Dateien monatlich erstellt werden und fail2ban liest die neu erstellte Datei nicht automatisch ein. Also zum Beispiel beim Wechsel von März auf April wird die April Datei nicht eingelesen. Erst nach einem restart von fail2ban. Ist das bei euch auch so? Überwacht fail2ban nicht den Ordner? Ich nutze als backend pyinotify.
Wie habt ihr das gelöst? Ein cronjob der fail2ban restartet ist ja auch nicht die beste Lösung oder?
« Letzte Änderung: 03 April 2018, 22:53:44 von xploderpro »
Raspberry mit FHEM | Selbstbau-CUL | Max! Wandthermostat und Heizköprper-Thermostat | IT-Funksteckdosen

Offline LR66

  • New Member
  • *
  • Beiträge: 33
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #42 am: 22 Mai 2018, 11:53:36 »
Hi Profi's...
bei mir läuft es auch soweit, aber

a) gibt es zu der Frage xploderpro wegen monatlichem Wechsel Log-Datei und nötigen Neustart fail2ban eine Lösung???

b) die Hacker versuchen es m.E. auch über SSL-Protokollfehler (?!), in meiner Log tauchen z.B. regelm. russische IP's auf:
2018.05.08 02:37:03 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:ssl3_get_record:wrong version number (peer: 185.156.177.23)
2018.05.08 02:37:03 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:ssl3_get_record:wrong version number (peer: 185.156.177.23)
2018.05.08 16:30:40 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:ssl3_get_record:wrong version number (peer: 185.156.177.29)
2018.05.08 16:30:40 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:ssl3_get_record:wrong version number (peer: 185.156.177.29)
Kann da ein Profi nötiges zum Bannen mit fail2ban beisteuern? Das wär schon fein, manchmal tauchen richtige viele Fehler auf, ich würde die gern verbannen  >:(

Danke & Grüße,
Lutz

Offline Wernieman

  • Hero Member
  • *****
  • Beiträge: 5522
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #43 am: 22 Mai 2018, 12:02:33 »
Ernsthaft ... verwende einen Http-Server (apache, nginx) als Proxy. Genau solche "Protokoll-Fehler" werden von diesen Serverdiensten am besten abgefangen.
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html
Gefällt mir Gefällt mir x 1 Zustimmung Zustimmung x 1 Liste anzeigen

Offline LR66

  • New Member
  • *
  • Beiträge: 33
Antw:FHEM-Hacker mit fail2ban blocken
« Antwort #44 am: 22 Mai 2018, 13:56:04 »
Hallo Werniemann,
hab's mit nginx schwer gehabt, und nicht wirklich hinbekommen, da ich von einem Router (=meiner Dyn-Wan-IP) auf einen internen Host mit nginx und 2 Serverprog zugreifen will (d.h. 1x nginx-Server + 1 Server der eigentlich auf 80/443 sein will + 1x Fhem) .
Die Wiki-Anleitung hatte nicht ganz so funktioniert und mit den Zertifikaten und Authentication ist mir das nicht so ganz gelungen, so das ich mit Fhem grad wieder über Port xxx unterwegs bin - und das macht in WWW-LAN's mit restriktiver Outgoing-Firewall auch so seine Probleme.
Da muss ich wohl mal wieder nginx anwerfen. Das Problem ist mein anderer Server, der selber https bei Bedarf erzwingt und Zertifikat verwaltet - ich hatte nginx nicht wirklich zum nackten "Portforwarding" ohne alles zu diesem Server und andererseits zu erzwungenem HTTPS mit Authentication zu Fhem konfiguriert bekommen - vielleicht eben auch, weil beide auf dem gleichen internen Host sind :(
Aber es wär der richtige Weg... vielleicht müßte ich einen zusätzlichen Pi opfern um das hinzubekommen in dem ich mindestens nginx separiere...
Grüße, Lutz