Bruteforce-Logins auf Plesks admin Konto stoppen

[GwenDragon]

Mittlerweile branden auf manchen Servern, die Plesk 9.5.3 verwenden, ziemlich viele Loginversuche an. Da Plesk keinerlei Loginsperre verwendet, können solche Versuche schon mal über mehrere Stunden dauern.

Da Plesk bei fehlgeschlagenem Login auch keinerlei Status 403 sendet, ist sowas im Log nicht gleich erkennbar.

Die Anzahl der Logins per Fail2ban-Filter zu begrenzen ist ja nicht so sinnvoll, da im Log ja nur die IP verwendet wird und manche Leute auch eine gemeinsame IP haben (Router im Heim-LAN, Firmen, etc.).

Der Plesk-Adminname admin lässt sich ja nicht ändern und Plesks kurze Passworte mit 14 Zeichenlänge sind knackbar.

Wie würdet ihr sowas stoppen?

 

[Lord Gurke]

Die Anzahl der Logins per Fail2ban-Filter zu begrenzen ist ja nicht so sinnvoll, da im Log ja nur die IP verwendet wird und manche Leute auch eine gemeinsame IP haben (Router im Heim-LAN, Firmen, etc.).

Da müssen diejenigen dann halt durch. Wenn aus dem Netzwerk attackiert wird und du außer der gemeinsamen öffentlichen IPs keine genaueren Daten für eine Firewallregel hast finde ich das durchaus gerechtfertigt.
Die meisten Anfragen werden doch vermutlich ohnehin nicht aus Deutschland kommen sondern eher aus den USA, Brasilien etc...
Wie hoch schätzt du die Wahrscheinlichkeit ein, dass einer deiner Benutzer sich zufällig in Brasilien aufhält, an einem Computer sitzt, sich an dem Plesk-Panel einloggen will und gleichzeitig ein anderer Rechner im selben Netzwerk Attacken auf dich fährt?

 

[its]

Die Anzahl der Logins per Fail2ban-Filter zu begrenzen ist ja nicht so sinnvoll, da im Log ja nur die IP verwendet wird und manche Leute auch eine gemeinsame IP haben (Router im Heim-LAN, Firmen, etc.).

Ich verstehe nicht warum du das Fail2Ban nicht benutzen möchtest?

Sollten vermehrte Loginversuche von einer IP kommen, sperre ich diese für X Minuten weg. Dabei spielt es für mich keine Rolle, ob es sich um eine shared-IP handelt.

Ich würde dir empfehlen, die IP bei 7 Fehlversuchen zu sperren für 120 Minuten.

 

[GwenDragon]

Hmm. Ich würde ja gern fail2ban nutzen, aber... spinnt Plesk 9.5.4?

Das /usr/local/psa/admin/logs/httpsd_access_log hat keine sinnvolle Remote-IP.
Beispiel:

172.29.196.230 s123456789.example.org:8443 - [20/Jul/2011:21:04:20 +0200] "POST /login_up.php3 HTTP/1.1" 303 0 "https://s123456789.example.org:8443/vz/cp/login-wrapper" "Opera/9.80 (Windows NT 6.1; U; de) Presto/2.9.168 Version/11.50"

172.29.196.230 ist doch eine reservierte lokale IP, oder?

 

[catwiesel]

172.29.196.230 ist doch eine reservierte lokale IP, oder?

eingentlich schon.... kommt auf die Subnetmask an... sollte aber rein Privat sein, belehrt mich, wenn ich hier falsch denke

Steht der Webserver bei Dir im gleichen Subnetz? Oder ist diese IP direkt von Deinem Webserver erreichbar?

 

[d4f]

Ja, ist reserviert lokal:

Internet Assigned Numbers Authority PRIVATE-ADDRESS-BBLK-RFC1918-IANA-RESERVED (NET-172-16-0-0-1) 172.16.0.0 - 172.31.255.255

 

[GwenDragon]

Nein, der Server steht in einem ganz anderen Netz und mein Loginzugriff war auch über externes DSL.

Wie komme ich an eine korrekte IP?
Oder hat Plesks PSA da einen Bug?

 

[GwenDragon]

Ich habe auf Plesks Website auch nichts gefunden zu dem Problem mit den falschen IPs.

Ich nehme mal an, da es sich bei dem von mir genannten Server um Plesk 9.5.4 handelt und schon Plesk 10 draußen ist, wird es keinen Bugfix mehr geben wegen der falschen IPs im Log.
Oder gibt es für Plesk 9.5x noch Fixes?

 

[GwenDragon]

Gerade eine Antwiort von Plesk bekommen.

Erinfach ausgedrückt: Der Server ist ein VServer und verwendet den Virtuozzo-Container, deswegen wird nicht die RemoteIP des Nutzers angezeigt sondern des Containers, weil der dazwischen hängt.

This means offline management option is enabled for your virtual machine (aka container), and Plesk panel interface works via special Service container (in other words, port 8443 is forwarded to Service container). In this case some additional Virtuozzo-related functionality is added to Plesk interface.

Shortly speaking you do not contact Plesk panel directly, but connection goes as:
You <-> Service Container <-> your Plesk inside your virtual container.

I.e. the IP you see is the IP of Service container on Parallels Virtuozzo installation of your hosting provider.

Selektives blockieren über IP ist dann nicht möglich.

Dann ist das Thema für mich erledigt.

 

[GwenDragon]

Nach Update auf Plesk 10.1.1 wird das Log mit der korrekten IP geschrieben. Jetzt kann ich fail2ban verwenden.