10
Frage zu logfiles
Hallo,
ich habe in den logfiles bzw. im logwatch output ein paar komische Dinge gesehen. Sytsem ist Ubuntu 20.04 LTS..
Vll kann mir ja jemand weiterhelfen, diese Einträge hatte ich heute das 1. Mal:
httpd
Connection attempts using mod_proxy:
222.186.19.235 -> fuwu.sogou.com:443: 2 Time(s)
Requests with error response codes
502 Bad Gateway
/push/ws: 464 Time(s)
Ich habe nginx laufen. Wie kann ich die attempts verhindern? Könnte ich in Fail2Ban die Sektion [nginx-http-auth]
aktivieren?
Was hat es mit dem /push/ws auf sich? Ein derartiges Verzeichnis hab ich gar nicht...
Dieser Eintrag taucht jeden Tag auf:
pam_unix
su:
Sessions Opened:
root -> nobody: 3 Time(s)
Und dazu aus dem log:
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy CRON[90276]: pam_unix(cron:session): session closed for user www-data
Jul 8 06:25:02 xy su: pam_unix(su:session): session closed for user nobody
Wäre super, wenn mir jemand weiterhelfen könnte.
Danke
Thomas
ich habe in den logfiles bzw. im logwatch output ein paar komische Dinge gesehen. Sytsem ist Ubuntu 20.04 LTS..
Vll kann mir ja jemand weiterhelfen, diese Einträge hatte ich heute das 1. Mal:
httpd
Connection attempts using mod_proxy:
222.186.19.235 -> fuwu.sogou.com:443: 2 Time(s)
Requests with error response codes
502 Bad Gateway
/push/ws: 464 Time(s)
Ich habe nginx laufen. Wie kann ich die attempts verhindern? Könnte ich in Fail2Ban die Sektion [nginx-http-auth]
aktivieren?
Was hat es mit dem /push/ws auf sich? Ein derartiges Verzeichnis hab ich gar nicht...
Dieser Eintrag taucht jeden Tag auf:
pam_unix
su:
Sessions Opened:
root -> nobody: 3 Time(s)
Und dazu aus dem log:
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy CRON[90276]: pam_unix(cron:session): session closed for user www-data
Jul 8 06:25:02 xy su: pam_unix(su:session): session closed for user nobody
Wäre super, wenn mir jemand weiterhelfen könnte.
Danke
Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 954540192
Url: https://administrator.de/contentid/954540192
Printed on: April 26, 2024 at 10:04 o'clock
10 Comments
Latest comment
Moin,
Da scannt jemand einfach nur das Netz und schaut halt bei Dir nach, ob seine Malware bei dir schon angekommen ist. Einfach mit fail2ban ausblenden und gut ist.
lks
Da scannt jemand einfach nur das Netz und schaut halt bei Dir nach, ob seine Malware bei dir schon angekommen ist. Einfach mit fail2ban ausblenden und gut ist.
lks
Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?
Die von mir angesprochene nginx-http-auth oder andere?
Zitat von @itstrue:
Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?
Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?
Prinzipiell sollte dieses Tutorial How To Protect an Nginx Server with Fail2Ban on Ubuntu 14.04 auch mit aktuellem ubuntu funktionieren.
lks
Danke die hatte ich auch schon gefunden. Werde ich heute Abend mal einstellen
Also ich hab das ganze mit Fail2Ban wie in der Anleitung beschrieben abgesichert.
Habe habe immer noch
Connection attempts using mod_proxy:
Kann ich das noch anderweitig verhindern?
Habe habe immer noch
Connection attempts using mod_proxy:
Kann ich das noch anderweitig verhindern?
Dazu müsste man einmal wissen wie du die Timer in Fail2ban konfiguriert hast. Wenn du dem Beispiel gefolgt bist sind das unsinnige Werte. Wenn einer im 2 Stunden Rythmus attackiert nutzt Fail2ban mit den o.a. Settings recht wenig mit dem Ban Timmer 3600 (= eine mickrige Stunde). Der würde dann immer wieder diese Meldung generieren.
Das solltest du also deutlich höher setzen auf mindestens 8 Stunden besser gleich einen Tag. Maxretry ist ebenso unsinnig liberal gesetzt. Das sollte höchstens auf 3 stehen besser noch 2 so das nur 2 Fehlversuche erlaubt sind und danach ein Angreifer für 24 Stunden geblockt wird. Sowas wäre bei heutigen Szenarien angebracht und sagt einem doch auch der gesunde IT Menschenverstand ! Mitdenken hilft wirklich !
Fakt ist das Angreifer versuchen den Proxy deines Servers zu benutzen.
https://www.davekb.com/browse_computer_tips:logwatch_connection_attempts ...
https://is.gd/R9K7TA
Das solltest du also deutlich höher setzen auf mindestens 8 Stunden besser gleich einen Tag. Maxretry ist ebenso unsinnig liberal gesetzt. Das sollte höchstens auf 3 stehen besser noch 2 so das nur 2 Fehlversuche erlaubt sind und danach ein Angreifer für 24 Stunden geblockt wird. Sowas wäre bei heutigen Szenarien angebracht und sagt einem doch auch der gesunde IT Menschenverstand ! Mitdenken hilft wirklich !
Fakt ist das Angreifer versuchen den Proxy deines Servers zu benutzen.
https://www.davekb.com/browse_computer_tips:logwatch_connection_attempts ...
https://is.gd/R9K7TA
Hab mitgedacht: 
Vll. bissl zu krass, aber egal
maxretry = 2
#findtime: 1 year
findtime = 31536000
#bantime: 1 year
bantime = 31536000
Achja:
Ich hab keinen Apache laufen sondern nginx
Vll. bissl zu krass, aber egalmaxretry = 2
#findtime: 1 year
findtime = 31536000
#bantime: 1 year
bantime = 31536000
Achja:
Ich hab keinen Apache laufen sondern nginx
Also ich hab jetzt noch nach div. Nginx Fail2ban Filtern gegoogelt.
Die hab ich im Jail eingetragen, die Filterdateien erstellt. Fail2Ban neu gestartet. Ruckzuck hatte ich auch 6 Mails = 6 Bans
Insgesamt hat mir fail2ban-client status 10 Jails gezeigt und in einem davon wie gesagt die 6 Bans.
Hab dem Server dann einen Reboot gegönnt:
Fail2Ban ist nicht mehr gelaufen, da in einem Filter falsche Zeichen waren => korrigiert und F2B neu gestartet
Jetzt zeigt mir fail2ban-client status aber nur noch 7 Jails und auch die 6 gabannten IPs sind weg...
Woran kann das liegen? Es fehlt z.B. auch der Nextloud Jail, den ich nicht angefasst hatte. Alle Jails sind in der jails.local eingetragen und aktiviert. Filter sind auch alle da.
Netdata zeigt mir auch alle 10 Jails an....
Die hab ich im Jail eingetragen, die Filterdateien erstellt. Fail2Ban neu gestartet. Ruckzuck hatte ich auch 6 Mails = 6 Bans
Insgesamt hat mir fail2ban-client status 10 Jails gezeigt und in einem davon wie gesagt die 6 Bans.
Hab dem Server dann einen Reboot gegönnt:
Fail2Ban ist nicht mehr gelaufen, da in einem Filter falsche Zeichen waren => korrigiert und F2B neu gestartet
Jetzt zeigt mir fail2ban-client status aber nur noch 7 Jails und auch die 6 gabannten IPs sind weg...
Woran kann das liegen? Es fehlt z.B. auch der Nextloud Jail, den ich nicht angefasst hatte. Alle Jails sind in der jails.local eingetragen und aktiviert. Filter sind auch alle da.
Netdata zeigt mir auch alle 10 Jails an....
Problem hat sich erledigt. Hatte eine Borg Backup Kopie von der jails.local eingespielt
Irgendwo in einem der Filter, hatte der Ersteller falsche Zeichen drin, nach Korrektur geht alles
Irgendwo in einem der Filter, hatte der Ersteller falsche Zeichen drin, nach Korrektur geht alles