- Registriert
- 11. Dez. 2010
- Beiträge
- 5.216
- Punkte
- 448
- XF Version
- 2.2.15
- XF Instanz
- Hosting
- PHP-Version
- 8.2.x
- MySQL/MariaDB
- 10.3.x
- Provider/Hoster
- Strato/Hetzner
Ubuntu 18.x LTS dedicated root Server, u.a. Fail2Ban als Brutforce-Schutz und ModSecurity als WAF aktiv.
Fail2Ban
ModSecurity
Fail2Ban
Ich hatte mich die Wochen immer schon mal gewundert, warum ich mich mit einer meiner zum Zeitpunkt vergebenen Telekom-IP ich keinen Zugriff mehr auj jegliche Domains meines Server hatte, Plesk ging aber immer.
Heut hab ich in einem Akt der Verzweiflung mal bei fail2ban in die Blockliste geschaut und mehrere meiner IPs, aber nicht alle (!) in der Liste gefunden. Ich wurde also von fail2ban und des jail plesk-apache ausgesperrt.
eingestellt ist eine mittlere einstellige Anzahl an Fehlversuchen, die ich zumindest heute im betreffendem Zeitraum definitiv nicht hatte - warum also passiert es sporadisch das mit fail2ban aussperrt?
Hat mit mir eigentlich noch ein anderer Telekom Kunde gleichzeitig meine dynamische IP? Meine IP wird alle 24h gewechselt, daher kann es ja auch sein, das wer anders heute den F2B Zähler hoch treibt und ich morgen mit einem einzigen Fehler die Sperre auslöse - kann das passieren oder ist das Quatsch?
Hier die Einstellungen des jail:
@McAtze
Du bist doch auch noch Strato bewandert und damit Plesk-beleckt (geil, was mir so alles einfällt
)
Kannst du mal bei dir schauen, wie dein plesk-apache jail konfiguriert ist, bitte?
@alle anderen
Gern auch ihr, ich hab da nie was angefasst und die Standard Installation einfach laufen lassen und hatte damit aber auch bis dieses Frühjahr nie Probleme.
Bei "Filtern" bietet er ja verschiedene Filter an:
Ist manchmal der Filter der falsche?
Heut hab ich in einem Akt der Verzweiflung mal bei fail2ban in die Blockliste geschaut und mehrere meiner IPs, aber nicht alle (!) in der Liste gefunden. Ich wurde also von fail2ban und des jail plesk-apache ausgesperrt.
eingestellt ist eine mittlere einstellige Anzahl an Fehlversuchen, die ich zumindest heute im betreffendem Zeitraum definitiv nicht hatte - warum also passiert es sporadisch das mit fail2ban aussperrt?
Hat mit mir eigentlich noch ein anderer Telekom Kunde gleichzeitig meine dynamische IP? Meine IP wird alle 24h gewechselt, daher kann es ja auch sein, das wer anders heute den F2B Zähler hoch treibt und ich morgen mit einem einzigen Fehler die Sperre auslöse - kann das passieren oder ist das Quatsch?
Hier die Einstellungen des jail:
@McAtze
Du bist doch auch noch Strato bewandert und damit Plesk-beleckt (geil, was mir so alles einfällt
)Kannst du mal bei dir schauen, wie dein plesk-apache jail konfiguriert ist, bitte?
@alle anderen
Gern auch ihr, ich hab da nie was angefasst und die Standard Installation einfach laufen lassen und hatte damit aber auch bis dieses Frühjahr nie Probleme.
Bei "Filtern" bietet er ja verschiedene Filter an:
Ist manchmal der Filter der falsche?
ModSecurity
Und wo wir schon bei sind - welche Regelliste verwendet ihr bei eurer Web Aplicatiob Firewall ModSecurity?
Ich hab aktuell den kostenlosen Satz von Comodo aktiv, bin aber damit nur so mittelprächtig happy. Welchen Regelsatz verwendet ihr? Oder gar eigene Regeln und wenn ja welche (gern per PN wenns um Details geht).
FirewallIch hab aktuell den kostenlosen Satz von Comodo aktiv, bin aber damit nur so mittelprächtig happy. Welchen Regelsatz verwendet ihr? Oder gar eigene Regeln und wenn ja welche (gern per PN wenns um Details geht).
Auch hier würde ich mich über ein wenig Erfahrungsaustausch freuen. Sperrt jemand komplette Kontinente anhand von IPs? Ich mein für ein Deutsches Teichforum sind russische oder taiwanesische Nutzer eh tendenziell uninteressant.
Habt ihr besondere Regeln, abweichend von den typischen Standardregeln? Wenn ja welche? Auch heir notfall gern Details per PN.
Habt ihr besondere Regeln, abweichend von den typischen Standardregeln? Wenn ja welche? Auch heir notfall gern Details per PN.
