itstrue
Goto Top

Frage zu logfiles

Hallo,

ich habe in den logfiles bzw. im logwatch output ein paar komische Dinge gesehen. Sytsem ist Ubuntu 20.04 LTS..
Vll kann mir ja jemand weiterhelfen, diese Einträge hatte ich heute das 1. Mal:

httpd
Connection attempts using mod_proxy:
222.186.19.235 -> fuwu.sogou.com:443: 2 Time(s)
Requests with error response codes
502 Bad Gateway
/push/ws: 464 Time(s)

Ich habe nginx laufen. Wie kann ich die attempts verhindern? Könnte ich in Fail2Ban die Sektion [nginx-http-auth]
aktivieren?

Was hat es mit dem /push/ws auf sich? Ein derartiges Verzeichnis hab ich gar nicht...

Dieser Eintrag taucht jeden Tag auf:

pam_unix
su:
Sessions Opened:
root -> nobody: 3 Time(s)

Und dazu aus dem log:
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy systemd: pam_unix(systemd-user:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy su: pam_unix(su:session): session closed for user nobody
Jul 8 06:25:01 xy su: (to nobody) root on none
Jul 8 06:25:01 xy su: pam_unix(su:session): session opened for user nobody by (uid=0)
Jul 8 06:25:01 xy CRON[90276]: pam_unix(cron:session): session closed for user www-data
Jul 8 06:25:02 xy su: pam_unix(su:session): session closed for user nobody


Wäre super, wenn mir jemand weiterhelfen könnte.

Danke

Thomas

Content-ID: 954540192

Url: https://administrator.de/forum/frage-zu-logfiles-954540192.html

Ausgedruckt am: 21.12.2024 um 14:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 09.07.2021 um 12:59:42 Uhr
Goto Top
Moin,

Da scannt jemand einfach nur das Netz und schaut halt bei Dir nach, ob seine Malware bei dir schon angekommen ist. Einfach mit fail2ban ausblenden und gut ist.

lks
itstrue
itstrue 09.07.2021 um 13:03:35 Uhr
Goto Top
Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?
Lochkartenstanzer
Lochkartenstanzer 09.07.2021 um 13:11:08 Uhr
Goto Top
Zitat von @itstrue:

Welche "Sektion" aktiviere ich am besten in Fail2Ban
Die von mir angesprochene nginx-http-auth oder andere?

Prinzipiell sollte dieses Tutorial How To Protect an Nginx Server with Fail2Ban on Ubuntu 14.04 auch mit aktuellem ubuntu funktionieren.

lks
itstrue
itstrue 09.07.2021 aktualisiert um 13:47:37 Uhr
Goto Top
Danke die hatte ich auch schon gefunden. Werde ich heute Abend mal einstellen
itstrue
itstrue 27.07.2021 um 15:45:58 Uhr
Goto Top
Also ich hab das ganze mit Fail2Ban wie in der Anleitung beschrieben abgesichert.
Habe habe immer noch
Connection attempts using mod_proxy:

Kann ich das noch anderweitig verhindern?
aqui
aqui 27.07.2021 aktualisiert um 16:21:36 Uhr
Goto Top
Dazu müsste man einmal wissen wie du die Timer in Fail2ban konfiguriert hast. Wenn du dem Beispiel gefolgt bist sind das unsinnige Werte. Wenn einer im 2 Stunden Rythmus attackiert nutzt Fail2ban mit den o.a. Settings recht wenig mit dem Ban Timmer 3600 (= eine mickrige Stunde). Der würde dann immer wieder diese Meldung generieren.
Das solltest du also deutlich höher setzen auf mindestens 8 Stunden besser gleich einen Tag. Maxretry ist ebenso unsinnig liberal gesetzt. Das sollte höchstens auf 3 stehen besser noch 2 so das nur 2 Fehlversuche erlaubt sind und danach ein Angreifer für 24 Stunden geblockt wird. Sowas wäre bei heutigen Szenarien angebracht und sagt einem doch auch der gesunde IT Menschenverstand ! Mitdenken hilft wirklich ! face-wink
Fakt ist das Angreifer versuchen den Proxy deines Servers zu benutzen.
https://www.davekb.com/browse_computer_tips:logwatch_connection_attempts ...
https://is.gd/R9K7TA
itstrue
itstrue 27.07.2021 aktualisiert um 16:25:31 Uhr
Goto Top
Hab mitgedacht: face-smile face-smile Vll. bissl zu krass, aber egal
maxretry = 2
#findtime: 1 year
findtime = 31536000
#bantime: 1 year
bantime = 31536000

Achja:
Ich hab keinen Apache laufen sondern nginx
itstrue
itstrue 27.07.2021 aktualisiert um 23:35:44 Uhr
Goto Top
Also ich hab jetzt noch nach div. Nginx Fail2ban Filtern gegoogelt.
Die hab ich im Jail eingetragen, die Filterdateien erstellt. Fail2Ban neu gestartet. Ruckzuck hatte ich auch 6 Mails = 6 Bans

Insgesamt hat mir fail2ban-client status 10 Jails gezeigt und in einem davon wie gesagt die 6 Bans.
Hab dem Server dann einen Reboot gegönnt:
Fail2Ban ist nicht mehr gelaufen, da in einem Filter falsche Zeichen waren => korrigiert und F2B neu gestartet

Jetzt zeigt mir fail2ban-client status aber nur noch 7 Jails und auch die 6 gabannten IPs sind weg...

Woran kann das liegen? Es fehlt z.B. auch der Nextloud Jail, den ich nicht angefasst hatte. Alle Jails sind in der jails.local eingetragen und aktiviert. Filter sind auch alle da.

Netdata zeigt mir auch alle 10 Jails an....
itstrue
Lösung itstrue 28.07.2021 aktualisiert um 01:12:42 Uhr
Goto Top
Problem hat sich erledigt. Hatte eine Borg Backup Kopie von der jails.local eingespielt

Irgendwo in einem der Filter, hatte der Ersteller falsche Zeichen drin, nach Korrektur geht alles
aqui
aqui 28.07.2021 um 09:15:51 Uhr
Goto Top
Perfekt !

Bitte dann nicht vergessen den Thread auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?