Server 3219: Attacken nicht in Auflistung enthalten

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
baeumel
Beiträge: 6
Registriert: 17. Okt 2015, 08:43

Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von baeumel » 17. Okt 2015, 09:09

Hallo Martin,

mir scheint es, dass mein Server seit dem 01.10. evtl. Probleme mit den Meldungen hat, denn nach diesem Zeitpunkt sehe ich keine weiteren Einträge unter Attacken, obwohl es welche gibt.
Meinerseits habe ich vermeintlich nichts verändert und auch die Mails sehen korrekt aus.

Hier nur der Anfang der Mails; es folgen jeweils WHOIS und Log-Lines:

03.10.2015 06:14 Uhr:

Code: Alles auswählen

Subject: [Fail2Ban] SIP: banned 88.150.240.107 from xxxx.xxxxxxx.com
Hi,

The IP 88.150.240.107 has just been banned by Fail2Ban after
3 attempts against SIP.
12.10.2015 07:13 Uhr:

Code: Alles auswählen

Subject: [Fail2Ban] SIP: banned 37.8.34.154 from xxxx.xxxxxxx.com
Hi,

The IP 37.8.34.154 has just been banned by Fail2Ban after
3 attempts against SIP.
Grüße,
Patrick

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von Martin » 17. Okt 2015, 22:03

Hi Patrick,

hat sich die Absender-Adresse evtl. geändert?
Aktuell finde ich keine Einträge zu der eingetragenen Absender-Adresse.
Zu dem Hostnamen, finde ich dann Einträge von mandrillapp.com
Ich glaub das Problem hatte schon mal ein User???

Kannst du evtl. auf das Reporting per curl über die http-Api umstellen?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

baeumel
Beiträge: 6
Registriert: 17. Okt 2015, 08:43

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von baeumel » 22. Okt 2015, 20:13

Hallo Martin,

jetzt komme ich dem Problem langsam auf die Spur.
Ja ich hatte den Mailversand umgestellt, so dass dieser nun über Mandrill (www.mandrill.com) läuft.

Offenbar wertet ihr im Header den envelope-from aus (z.B. envelope-from <bounce-md_30050698.5629067b.v1-e3e60d3e950844f880d700147c16a584@mandrillapp.com>), korrekt?

Nun habe ich das Reporting einmal auf curl umgestellt, dies scheint für SSH auch zu funktionieren.
Für SIP wird allerding nichts reportet; ich vermute fast, dass die Log-Ausschnitte bei SIP zu lange für den curl-Aufruf sind.

Beispiel:

Code: Alles auswählen

Lines containing IP:213.202.212.36 in /var/log/asterisk/fail2ban

[2015-10-22 17:14:18] SECURITY[4504] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-10-22T17:14:18.121+0200",Severity="Informational",Service="SIP",EventVersion="1",AccountID="121",SessionID="0x1a25c68",LocalAddress="IPV4/UDP/X.XX.XXX.XXX/5060",RemoteAddress="IPV4/UDP/213.202.212.36/5064",Challenge="1f8dfcb9"
[2015-10-22 17:14:18] NOTICE[4481] chan_sip.c: Registration from '"121" <sip:121@X.XX.XXX.XXX:5060>' failed for '213.202.212.36:5064' - Wrong password
[2015-10-22 17:14:18] SECURITY[4504] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2015-10-22T17:14:18.130+0200",Severity="Error",Service="SIP",EventVersion="2",AccountID="121",SessionID="0x1a25c68",LocalAddress="IPV4/UDP/X.XX.XXX.XXX/5060",RemoteAddress="IPV4/UDP/213.202.212.36/5064",Challenge="1f8dfcb9",ReceivedChallenge="1f8dfcb9",ReceivedHash="1f2b6775e41e2364eeb59248cf5023d8"
[2015-10-22 17:14:21] SECURITY[4504] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-10-22T17:14:21.545+0200",Severity="Informational",Service="SIP",EventVersion="1",AccountID="101",SessionID="0x195aa18",LocalAddress="IPV4/UDP/X.XX.XXX.XXX/5060",RemoteAddress="IPV4/UDP/213.202.212.36/5087",Challenge="67a8c973"
[2015-10-22 17:14:21] NOTICE[4481] chan_sip.c: Registration from '"101" <sip:101@X.XX.XXX.XXX:5060>' failed for '213.202.212.36:5087' - Wrong password
[2015-10-22 17:14:21] SECURITY[4504] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2015-10-22T17:14:21.569+0200",Severity="Error",Service="SIP",EventVersion="2",AccountID="101",SessionID="0x195aa18",LocalAddress="IPV4/UDP/X.XX.XXX.XXX/5060",RemoteAddress="IPV4/UDP/213.202.212.36/5087",Challenge="67a8c973",ReceivedChallenge="67a8c973",ReceivedHash="2122e04d7a7d438a5e9ec522e0f7baff"
[2015-10-22 17:14:23] SECURITY[4504] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="2015-10-22T17:14:23.239+0200",Severity="Informational",Service="SIP",EventVersion="1",AccountID="113",SessionID="0x19ee438",LocalAddress="IPV4/UDP/X.XX.XXX.XXX/5060",RemoteAddress="IPV4/UDP/213.202.212.36/5085",Challenge="4fa5855a"
[2015-10-22 17:14:23] NOTICE[4481] chan_sip.c: Registration from '"113" <sip:113@X.XX.XXX.XXX:5060>' failed for '213.202.212.36:5085' - Wrong password
[2015-10-22 17:14:23] SECURITY[4504] res_security_log.c: SecurityEvent="InvalidPassword",EventTV="2015-10-22T17:14:23.252+0200",Severity="Error",Service="SIP",EventVersion="2",AccountID="113",SessionID="0x19ee438",LocalAddress="IPV4/UDP/X.XX.XXX.XXX/5060",RemoteAddress="IPV4/UDP/213.202.212.36/5085",Challenge="4fa5855a",ReceivedChallenge="4fa5855a",ReceivedHash="58d66bccf57f440e016f1a1424344070"
Gibt es hierfür eine Lösung?

Grüße,
Patrick

baeumel
Beiträge: 6
Registriert: 17. Okt 2015, 08:43

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von baeumel » 22. Okt 2015, 20:33

Folgendes findet sich in der fail2ban-Log:

Code: Alles auswählen

2015-10-22 13:38:06,684 fail2ban.actions[28149]: WARNING [asterisk] Ban 23.239.69.131
2015-10-22 13:38:06,703 fail2ban.actions.action[28149]: ERROR   curl --fail --data-urlencode 'server=fail2ban@xxxx.xxxxxxx.xxx' --data 'apikey=025eeae13d' --data 'service=asterisk' --data 'ip=23.239.69.131' --data-urlencode 'logs=\[2015-10-22 13:33:42\] NOTICE\[4481\] chan_sip.c: Registration from \'\"0000\" \<sip:0000@X.XX.XXX.XXX:5060\>\' failed for \'23.239.69.131:5066\' - Wrong password\
\[2015-10-22 13:35:42\] NOTICE\[4481\] chan_sip.c: Registration from \'\"0800\" \<sip:0800@X.XX.XXX.XXX:5060\>\' failed for \'23.239.69.131:5074\' - Wrong password\
\[2015-10-22 13:38:05\] NOTICE\[4481\] chan_sip.c: Registration from \'\"0600\" \<sip:0600@X.XX.XXX.XXX:5060\>\' failed for \'23.239.69.131:5068\' - Wrong password\
' --data 'format=text' --user-agent "fail2ban v0.8.14" "https://www.blocklist.de/en/httpreports.html" returned 100
2015-10-22 17:14:23,295 fail2ban.actions[28149]: WARNING [asterisk] Ban 213.202.212.36
2015-10-22 17:14:23,323 fail2ban.actions.action[28149]: ERROR   curl --fail --data-urlencode 'server=fail2ban@xxxx.xxxxxxx.xxx' --data 'apikey=025eeae13d' --data 'service=asterisk' --data 'ip=213.202.212.36' --data-urlencode 'logs=\[2015-10-22 17:14:18\] NOTICE\[4481\] chan_sip.c: Registration from \'\"121\" \<sip:121@X.XX.XXX.XXX:5060\>\' failed for \'213.202.212.36:5064\' - Wrong password\
\[2015-10-22 17:14:21\] NOTICE\[4481\] chan_sip.c: Registration from \'\"101\" \<sip:101@X.XX.XXX.XXX:5060\>\' failed for \'213.202.212.36:5087\' - Wrong password\
\[2015-10-22 17:14:23\] NOTICE\[4481\] chan_sip.c: Registration from \'\"113\" \<sip:113@X.XX.XXX.XXX:5060\>\' failed for \'213.202.212.36:5085\' - Wrong password\
' --data 'format=text' --user-agent "fail2ban v0.8.14" "https://www.blocklist.de/en/httpreports.html" returned 100
2015-10-22 17:42:38,512 fail2ban.actions[28149]: WARNING [asterisk] Ban 89.163.209.103
2015-10-22 17:42:38,537 fail2ban.actions.action[28149]: ERROR   curl --fail --data-urlencode 'server=fail2ban@xxxx.xxxxxxx.xxx' --data 'apikey=025eeae13d' --data 'service=asterisk' --data 'ip=89.163.209.103' --data-urlencode 'logs=\[2015-10-22 17:42:35\] NOTICE\[4481\] chan_sip.c: Registration from \'\"450\" \<sip:450@X.XX.XXX.XXX:5060\>\' failed for \'89.163.209.103:5084\' - Wrong password\
\[2015-10-22 17:42:37\] NOTICE\[4481\] chan_sip.c: Registration from \'\"400\" \<sip:400@X.XX.XXX.XXX:5060\>\' failed for \'89.163.209.103:5078\' - Wrong password\
\[2015-10-22 17:42:38\] NOTICE\[4481\] chan_sip.c: Registration from \'\"437\" \<sip:437@X.XX.XXX.XXX:5060\>\' failed for \'89.163.209.103:5093\' - Wrong password\
' --data 'format=text' --user-agent "fail2ban v0.8.14" "https://www.blocklist.de/en/httpreports.html" returned 100
Grüße,
Patrick

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von Martin » 23. Okt 2015, 23:03

Hallo Patrick,

in den error-Logs konnte ich schon mal nichts dazu finden. Das bedeutet, der Request kam nicht bis zum php.
Kannst du in der /etc/fail2ban/action.d/blocklist_de.conf einmal bei dem CURL-Request den Eintrag von:
--data-urlencode
in folgendes ändern:
--request POST
Dann sollten die Daten per POST gesendet und korrekt verarbeitet werden können.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

baeumel
Beiträge: 6
Registriert: 17. Okt 2015, 08:43

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von baeumel » 24. Okt 2015, 22:26

Hallo Martin,

leider hat das nicht geholfen; es ist sogar schlechter geworden, da die SSH-Meldungen nun wieder nicht mehr durchkommen:

Code: Alles auswählen

2015-10-24 10:32:10,025 fail2ban.jail   [4835]: INFO    Jail 'ssh-iptables' started
2015-10-24 10:32:10,029 fail2ban.jail   [4835]: INFO    Jail 'asterisk' started
2015-10-24 12:21:53,414 fail2ban.actions[4835]: WARNING [ssh-iptables] Ban 119.57.151.34
2015-10-24 14:47:27,150 fail2ban.actions[4835]: WARNING [ssh-iptables] Ban 59.175.148.3
2015-10-24 17:16:29,419 fail2ban.actions[4835]: WARNING [asterisk] Ban 85.25.43.137
2015-10-24 17:16:29,435 fail2ban.actions.action[4835]: ERROR   curl --fail --request POST 'server=fail2ban@pbx3.baeumel.com' --data 'apikey=025eeae13d' --data 'service=asterisk' --data 'ip=85.25.43.137' --data-urlencode 'logs=\[2015-10-24 17:16:26\] NOTICE\[4481\] chan_sip.c: Registration from \'\"6001\" \<sip:6001@5.45.106.145:5060\>\' failed for \'85.25.43.137:5132\' - Wrong password\
\[2015-10-24 17:16:26\] NOTICE\[4481\] chan_sip.c: Registration from \'\"607\" \<sip:607@5.45.106.145:5060\>\' failed for \'85.25.43.137:5074\' - Wrong password\
\[2015-10-24 17:16:29\] NOTICE\[4481\] chan_sip.c: Registration from \'\"9001\" \<sip:9001@5.45.106.145:5060\>\' failed for \'85.25.43.137:5130\' - Wrong password\
' --data 'format=text' --user-agent "fail2ban v0.8.14" "https://www.blocklist.de/en/httpreports.html" returned 100
2015-10-24 20:27:47,811 fail2ban.actions[4835]: WARNING [asterisk] Ban 37.8.31.46
2015-10-24 20:27:47,828 fail2ban.actions.action[4835]: ERROR   curl --fail --request POST 'server=fail2ban@pbx3.baeumel.com' --data 'apikey=025eeae13d' --data 'service=asterisk' --data 'ip=37.8.31.46' --data-urlencode 'logs=\[2015-10-24 20:21:14\] NOTICE\[4481\] chan_sip.c: Registration from \'\"100\" \<sip:100@5.45.106.145:5060\>\' failed for \'37.8.31.46:20549\' - Wrong password\
\[2015-10-24 20:24:34\] NOTICE\[4481\] chan_sip.c: Registration from \'\"100\" \<sip:100@5.45.106.145:5060\>\' failed for \'37.8.31.46:20543\' - Wrong password\
\[2015-10-24 20:27:47\] NOTICE\[4481\] chan_sip.c: Registration from \'\"100\" \<sip:100@5.45.106.145:5060\>\' failed for \'37.8.31.46:5060\' - Wrong password\
' --data 'format=text' --user-agent "fail2ban v0.8.14" "https://www.blocklist.de/en/httpreports.html" returned 100
2015-10-24 21:01:11,791 fail2ban.actions[4835]: WARNING [ssh-iptables] Ban 31.14.133.205
2015-10-24 23:17:19,206 fail2ban.actions[4835]: WARNING [ssh-iptables] Ban 110.45.139.40

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von Martin » 28. Okt 2015, 01:05

Hi Patrick,

sorry das es etwas gedauert hat.
Von der IP-Adresse des Servers, kommen die Requests an und werden mit einem Status 200 (OK) bestätigt.
Bei einem Fehler gibt es den Status 401.

Auch vom 22.10 bis jetzt, wurden alle api-requests mit 200 ok beantwortet.

Aktuell gibt es auch keine Fehler-Reports zu dem Server/Server-IP.
Passt das aktuelles? Konntest du es selbst entsprechend anpassen?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

baeumel
Beiträge: 6
Registriert: 17. Okt 2015, 08:43

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von baeumel » 28. Okt 2015, 07:41

Hallo Martin,

kein Problem; ganz toll wie du dich hier um alles kümmerst, da kann man auch mal etwas warten.

Ja ich habe die Änderung selbst durchgeführt.
Gut, dass die Daten bei dir offenbar ankommen; leider werden Sie im Web-Portal aber nicht angezeigt:
Bild

Ich habe jetzt einmal den vorherigen Mailversand aus dem Script herausgenommen; vielleicht hatte diese Dopplung ja gestört.

Grüße,
Patrick

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von Martin » 28. Okt 2015, 08:06

Hi Patrick,

am besten dann noch mal bitte kurz an support@ oder hier per Nachricht Bescheid geben, wenn was gemeldet wurde, damit ich die logs direkt prüfen kann.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

baeumel
Beiträge: 6
Registriert: 17. Okt 2015, 08:43

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von baeumel » 29. Okt 2015, 20:12

Hallo Martin,

ganz "Real-Time" habe ichs nicht geschafft; hier sind die letzten Meldungen:

29.10.2015 15:16 Uhr:

Code: Alles auswählen

Hi,

The IP 121.41.24.185 has just been banned by Fail2Ban after
3 attempts against SSH.
28.10.2015 10:22 Uhr:

Code: Alles auswählen

Hi,

The IP 77.121.92.195 has just been banned by Fail2Ban after
3 attempts against SSH.

Code: Alles auswählen

2015-10-28 10:22:40,458 fail2ban.actions[17109]: WARNING [ssh-iptables] Ban 77.121.92.195
2015-10-29 10:22:41,032 fail2ban.actions[17109]: WARNING [ssh-iptables] Unban 77.121.92.195
2015-10-29 15:16:24,631 fail2ban.actions[17109]: WARNING [ssh-iptables] Ban 121.41.24.185
Grüße,
Patrick

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Server 3219: Attacken nicht in Auflistung enthalten

Beitrag von Martin » 5. Nov 2015, 02:07

Hi Patrick,
sorry nun hat es bei mir zeitlich nicht geklappt.
Kannst du es evtl. direkt an support@ dann noch mal weiterleiten? Da kann ich dann schneller reagieren und sehe es früher/direkt.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten