fail2ban - iptable Installationsprobleme

[pajama]

Hi, ich bin durch googlen meiner Problem auf diese Forum aufmerksam geworden und habe hier auch schon Teillösungen gefunden.

Nun zu meinem Problem:
Seit ein paar Tagen habe ich auf meinem vServer (apache - debian mit vollem Rootzugriff auf kompletten vServer) festgestellt, dass über mehrere IP's versucht wird auf Datein zuzugreifen:

[Thu Jan 08 20:46:08 2009] [error] [client 67.18.216.154] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Thu Jan 08 20:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/nonexistenshit
[Thu Jan 08 20:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/mail
[Thu Jan 08 20:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/bin
[Thu Jan 08 20:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/rc
[Thu Jan 08 20:56:18 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/roundcube
[Thu Jan 08 20:56:18 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/webmail/bin

Hier habe ich dann erfahren dass man das Progi fail2ban installierenn sollte um IP's zu bannen.

Ich habe das auch gemacht und die fail2ban.conf konfiguriert. Leider bekomme ich aber in der fail2ban.log folgende Fehlermeldungen:

2009-01-08 21:06:06,522 fail2ban.actions.action: INFO   Set actionUnban = iptables -D fail2ban-<name> -s <ip> -j DROP
2009-01-08 21:06:06,523 fail2ban.actions.action: INFO   Set actionCheck = iptables -n -L INPUT | grep -q fail2ban-<name>
2009-01-08 21:06:06,716 fail2ban.actions.action: ERROR  iptables -N fail2ban-vsftpd
iptables -A fail2ban-vsftpd -j RETURN
iptables -I INPUT -p tcp --dport ftp -j fail2ban-vsftpd returned 300
2009-01-08 21:06:06,716 fail2ban.actions.action: ERROR  iptables -N fail2ban-postfix
iptables -A fail2ban-postfix -j RETURN
iptables -I INPUT -p tcp --dport smtp -j fail2ban-postfix returned 300
2009-01-08 21:06:06,717 fail2ban.actions.action: ERROR  iptables -N fail2ban-proftpd
iptables -A fail2ban-proftpd -j RETURN
iptables -I INPUT -p tcp --dport ftp -j fail2ban-proftpd returned 300
2009-01-08 21:06:06,717 fail2ban.actions.action: ERROR  iptables -N fail2ban-couriersmtp
iptables -A fail2ban-couriersmtp -j RETURN
iptables -I INPUT -p tcp --dport smtp -j fail2ban-couriersmtp returned 300
2009-01-08 21:06:06,718 fail2ban.actions.action: ERROR  iptables -N fail2ban-apache-noscript
iptables -A fail2ban-apache-noscript -j RETURN
iptables -I INPUT -p tcp --dport http -j fail2ban-apache-noscript returned 300
2009-01-08 21:06:06,820 fail2ban.actions.action: ERROR  iptables -N fail2ban-wuftpd
iptables -A fail2ban-wuftpd -j RETURN
iptables -I INPUT -p tcp --dport ftp -j fail2ban-wuftpd returned 300
2009-01-08 21:06:07,043 fail2ban.actions.action: ERROR  iptables -N fail2ban-sasl
iptables -A fail2ban-sasl -j RETURN
iptables -I INPUT -p tcp --dport smtp -j fail2ban-sasl returned 300
2009-01-08 21:06:07,153 fail2ban.actions.action: ERROR  iptables -N fail2ban-apache
iptables -A fail2ban-apache -j RETURN
iptables -I INPUT -p tcp --dport http -j fail2ban-apache returned 300
2009-01-08 21:06:07,160 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp --dport ssh -j fail2ban-ssh returned 300

Auch hier in dem Forum habe ich dann gefunden, dass es wohl irgendwie damit zutun hat, dass iptable nicht richtig funktioniert.

Aber wie und warum weiss ich leider nicht.

Hier noch der iptable status inklusive Fatal Error

vadmin:~# iptables -L
FATAL: Could not load /lib/modules/2.6.18-xen/modules.dep: No such file or directory
iptables v1.3.6: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Kann mir jemand bei dem Problem helfen ?

 

[LinuxAdmin]

Es sieht so aus, als ob auf Deinem vServer das IP-Tables-Feature von Deinem Provider nicht angeboten wird.

 

[pajama]

ok - und welche features wären das bzw. wie kann ich das installieren - habe vollen rootzugriff auf alle Bereiche.

 

[djrick]

welche features wären das

iptables

wie kann ich das installieren

Dazu müsstest du den Kernel neu kompilieren aber:

habe vollen rootzugriff auf alle Bereiche.

...selbst mit root Zugriff ist es bei Vserver nicht möglich den Kernel neuzukompilieren. Eventuell mal deinen Provider anschreiben, warum kein iptables im Kernel mit drinnen ist (ist eigentlich "Standart"), du hast leider keine Möglichkeit das selbst zu machen.

Eine Alternative wäre vielleicht: Welcome to DenyHosts
Dieses Programm arbeitet über hosts.allow / hosts.deny, das könnte das Problem vielleicht umgehen (kann aber auch sein dass dir dazu Kernelfeatures fehlen, das Thema hatten wir hier schonmal vor ein paar Tagen).
Du kannst ja mal DenyHosts ausprobieren. Ich wäre froh wenn du uns eine Rückmeldung geben könntest ob es damit klappt

 

[LinuxAdmin]

...selbst mit root Zugriff ist es bei Vserver nicht möglich den Kernel neuzukompilieren.

Wenn ich obige Fehlermeldung richtig interpretiere, ist der vServer auf Xen-Basis virtualisiert. Da sollte es schon möglich sein, selber einen Kernel zu backen. Bei den meisten anderen Virtualisierern hat man natürlich Pech und ist dem Provider ausgeliefert

 

[djrick]

Oh stimmt, ich hatte mir den Pfad in der Fehlermeldung nicht so genau angesehen.
Aber ich stimme dir zu: Ich glaube nicht dass es so einfach ist nen funktionierenden Kernel dafür hinzubekommen.

 

[pajama]

ok - danke schonmal für die Antworten,


jetzt hat man mir aber doch fail2ban abgeraten, da dieses Progi auch die suchmaschinen bannt und das hat ja für einen online-shop fatale Folgen !

Man hat mir mod_security empfohlen - ausserdem solle ich für die roundcube attacken den sogenannten suhosin Patch installieren.

Nur wie mache ich das ?
Habe mal eben die Datei: suhosin-patch-5.2.7-0.9.6.3.patch gedownloadet - diesen muss ich doch in ein php ordner ausführen oder ?

 

[djrick]

Welches System nutzt du?
Debian?
Wenn ja dann nimm für php die dotdeb.org Sourcen, da ist der Patch direkt mit drin

 

[pajama]

Das hört sich gut an und wie installiere ich dies ?

 

[djrick]

Das hört sich gut an und wie installiere ich dies ?

Instructions | Dotdeb

 

[pajama]

Vielen Dank für die Hilfe und die Geduld.

nach der Installation habe ich die Zeilen wieder aus der sources.list rauskommentiert.
muss ich jetzt noch etwas konfigurieren oder einfach server neustarten ?

Nachtrag: bin mir nicht sicher ob doteb wirklich richtig installiert ist, es wurde zwar nach anweiungs installiert und auch per update aufgeführt, aber in der von mir erstellten info.php wirds nicht aufgeführt (hab server komplett neugestartet)

Es soll laut meiner Info zumindest etwa so aufgeführt werden:

Zend Engine v2.2.0, Copyright (c) 1998-2006 Zend Technologies
with Suhosin v0.9.12, (C) Copyright 2006, by Hardened-PHP Project

tut es aber nicht

 

[djrick]

1.) lass die Zeilen in der sources.list sonst kommt dein Server durcheinander
2.) Danach: apt-get update && apt-get upgrade
3.) freuen

 

[pajama]

Danke, hat super funktioniert

jetzt wollte ich nocht mod_security installieren mit:

# apt-get install libapache2-mod-security

bekomme aber folgende Meldung:

vadmin:~# apt-get install libapache2-mod-security
Reading package lists... Done
Building dependency tree... Done
E: Couldn't find package libapache2-mod-security

Was kann ich da machen ?

 

[djrick]

Was kann ich da machen ?

Suchen:
apt-cache search libapach2
apt-cache search security

irgendwo wirst du dann schon das richtige Packet finden

 

[flobbie]

Hi,

irgendwo wirst du dann schon das richtige Packet finden

Ich glaube du kannst libapache[2]-mod-security nicht mehr über apt-get installieren, weil es in Debian Etch/Lenny nicht mehr als Paket zur Verfügung steht.
Du musst es dir von modsecurity.org runterladen und selber bauen.
Mit freundlichen Grüßen
Flobbie

 

[djrick]

Doch doch, mit den richtigen Sources geht das schon:

Installing ModSecurity2 On Debian Etch | HowtoForge - Linux Howtos and Tutorials

 

[pajama]

Hmm, jetzt habe ich ein ganz anderes Problem. Seit dem Update und install von dem Dotdeb packages verlief alles wunderbar.
Eben wollte ich dann meine Seite aufrufen und bemerkte dass keine Datenbanken vorhanden sind.

Habe den Server nochmal neugestartet und die error.log angeschaut - die war komplett leer udn der alten error1.log stand dann folgendes zum schluss:

[Sun Jan 11 07:34:16 2009] [error] [client 66.249.65.198] File does not exist: /var/www/web1/html/oxid/templates
[Sun Jan 11 07:42:19 2009] [error] [client 66.249.65.198] script '/var/www/web1/html/oxid/reviews.php' not found or unable to stat
[Sun Jan 11 07:51:10 2009] [error] [client 66.249.65.198] File does not exist: /var/www/web1/html/oxid/templates
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly
piped log program '/var/www/confixx/pipelog.pl' failed unexpectedly

Bin echt am verzweifeln und confixx ist nicht aufrufbar:

The locale key is unknown
Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)

Die Datei mysqld.sock ist wirklich nicht an dem Ort: var/run/mysqld
Ist das durch das Dotdeb upgradte entstanden und wie kann ich das beheben ?


Achso und CPU ist auf einmal komeplett ausgeschöpft (gestern nach upgradte 5% Auslastung - heute morgen auf einmal 100% Auslastung) - hatte heute morgen aber nichts am Server geändert !
Auch die Ram Leistung ist am Limit (habe 200MB Ram)

 

[djrick]

Welcher Prozess deinen Server auslastet findest du raus mit:

top

oder

ps aux

Läuft MySQL? Wahrscheinlich ist der Server nur nicht gestartet

 

[pajama]

Ja hab meinen Provider angerufen, der hat Confixx wieder gestartet.
Keine Ahnung warums nicht mitgestartet wurde.

jetzt habe ich mal in der sys.log was merkwürdiges entdeckt:

Jan 11 16:25:23 vadmin60 postfix/smtpd[1648]: connect from unknown[89.243.18.90]
Jan 11 16:25:25 vadmin60 postfix/smtpd[1648]: NOQUEUE: reject: RCPT from unknown[89.243.18.90]: 554 5.7.1 <info@pjone.de>: Relay access denied; from=<jugglek035@email.cz> to=<info@pjone.de> proto=ESMTP helo=<127358760308>
Jan 11 16:25:26 vadmin60 postfix/smtpd[1648]: disconnect from unknown[89.243.18.90]

werde mal genau nach schauen was die Auslastung verursacht - aber ich denke das jemand da mein Server bereits gehackt hat.

Nachtrag:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
  962 amavis    25   0 44332  30m  496 R 98.6 15.4  32:03.88 clamd
    1 root      15   0  1876  648  556 S  0.0  0.3   0:01.18 init
    2 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 migration/0
    3 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd/0

Also clamd amavis (Spamassassin) verursacht die Auslastung - und wie kann ich das minimieren - habe das erst nach dem dotdeb abupgradte !?

 

[djrick]

Der Auszug aus dem Syslog ist völlig normal, es wurde bloss eine (Spam) Mail an deinen Server geschickt, die nicht angenommen wurde, weil der Empfänger nicht in deinem System existiert...Völlig normal

Zu deinem zweiten Problem:
1.) Setz sowas bitte in CODE und nicht in QUOTE Tags, so kann man das ja gar nicht entziffern
2.) Starte mal clamd neu