FHEM-Hacker mit fail2ban blocken

Begonnen von JensS, 18 Februar 2018, 14:41:05

Vorheriges Thema - Nächstes Thema

Wernieman

Was hast Du denn als "anderen Webserver"?
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

LR66

Tja - ein ziemliches Special: Barracudadrive hieß es früher, heute Fuguhub bzw. Makoserver - ist klein schlank, einfache Administration, CMS, Webdav und dynamische Lua-Script-Seiten/Web-Apps, Banning eingebaut ...  uvm - und lief auch früher schon flott & locker flockig auf RPi1...
So einfach wie er funktioniert ist aber auch best. Funktion nicht vollkommen: er kann auch reverseProxy, aber fängt dabei FHEM-interne JSON-Eventmeldung ab und bringt da Fehler...


Wernieman

d.h. als Proxy nicht zu gebrauchen .. und Du wirst deshalb bestimmt Deine Projekte nicht nach nginx portieren ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

LR66

Jepp... den will ich lieber für all das was er mit sein paar bin's, einer table, cache und zip's kann, behalten.  Wordpress,Jomla o.ä. - für mich oversized und je größer = unüberschaubarer = angreifbarer ...
Eigentlich könnte man im Makoserver/Fuguhub direkt eine FHEM-Oberfläche proggen (Https, Websockets, AJAX, Lua-/Java-/C-Script/JSON/Threats... alles über API möglich)  :)...
aber so ein Prog-Künstler bin ich dann doch nicht  ::) :-[

LR66

... aber zurück zum Thema, falls das mit nginx nimmer wird:
Regex ist (weder bei fail2ban noch bei fhem) so mein Ding: könnte man in fail2ban nicht über eine überschaubare Regex auf alle "FHEMWEB SSL/HTTPS error:" filtern und die IP aus "(peer: xxx)" zum bannen  rausziehen?

Wernieman

Jep .. siehe Doku zu fail2ban.

Sorry, aber das zu entwickeln/proggen hat für mich persönlich keinen Sinn ...
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

frank

Zitatauf alle "FHEMWEB SSL/HTTPS error:" filtern und die IP aus "(peer: xxx)" zum bannen  rausziehen?
dann pass mal auf, dass du dich nicht selber aussperrst.  ;)
FHEM: 6.0(SVN) => Pi3(buster)
IO: CUL433|CUL868|HMLAN|HMUSB2|HMUART
CUL_HM: CC-TC|CC-VD|SEC-SD|SEC-SC|SEC-RHS|Sw1PBU-FM|Sw1-FM|Dim1TPBU-FM|Dim1T-FM|ES-PMSw1-Pl
IT: ITZ500|ITT1500|ITR1500|GRR3500
WebUI [HMdeviceTools.js (hm.js)]: https://forum.fhem.de/index.php/topic,106959.0.html

Tom111

Leider funktioniert das ganze mit stretch und fail2ban Version 0.10.3 nicht mehr.  :-\

Kann das mal einer wieder in Ordnung bringen!?  ;)
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Wernieman

Ohne weitere info als "Funktioniert nicht mehr" ... nein
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

Tom111

Hatte etwas vergessen, läuft wieder!  :)
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

Tom111

nach einem update upgrade blockt fail2ban keine IP-Adressen mehr!
Habe sicherheitshalber mal ein altes Image genommen, wo noch alles funktioniert hat.
Nach einem update/upgrade des Raspberry Pi läuft wohl alles wie gehabt, nur nicht fail2ban!  :-\
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

CoolTux

Danke für die Info. Gut zu wissen.


Grüße
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Tom111

Fehler gefunden!
Es war doch das FHEM-Update dass das verbockt hat!
Und zwar heißt es in der FHEM Logdatei nicht mehr "Login denied by allowed_WEB for ..."
sondern jetzt "Login denied for user ..."

Diese Änderung muss in:
/etc/fail2ban/filter.d/fhem.conf
angepasst werden!

Der neue Filter sollte dann so aussehen:
# Fail2ban filter for fhem
[INCLUDES]
before = common.conf
[Definition]
failregex = ^(.*?)Login denied (.*?)_<HOST>_
ignoreregex =


Man, was habe ich gesucht und kein Hinweis darauf dass sich die LOG in dieser Hinsicht geändert hat.
Schande über den der das geändert hat!  ;D
FHEM 5.9 auf Raspberry Pi - 3B+ - Stretch-5.10.88+ | CUL868 CC1101 - USB - Lite module - V3 FW 1.67
Fritz!Box 7490 OS 07.29 / Fritz!Dect200 / Fritz!Powerline 546E
FS20ST-4/ FS20 DI-5/ FS20LS/ FS20 PIRI-2-KU/ FS20 TFK/ FS20S4A/FS20 SU-3/FS20 S20-3
HMS100TF/FHT80TF-2/ASH2200/S300TH/MiLight-Bridge V

CBSnake

Hi,

und ich hab mich heute gewundert warum Fhem nicht mehr dicht macht wenn ich mich beim Passwort vertippe  ::)

FHEM auf Debian 10, HM-Wlan, JeeLink-Wlan, Wlanduino, ConBee, TP-Link Steckdose, GHoma Steckdosen, Shelly Steckdosen

Frank_Huber

Ich meine in einer Ankündigung / Diskussion davon gelesen zu haben. Ging um Änderungen wie allowed arbeitet.

Gesendet von meinem Doogee S60 mit Tapatalk