XF1+2 Fail2ban und Xenforo

[otto]

Hallo,

ich habs nun schon mehrfach selbst und bei Benutzern erlebt, das mit Fail2ban augenscheinlich unbegründet IPs und somit deren Benutzer blockt - mich inbegriffen.

Wenn das passiert sieht der Nutzer nur folgendes:


Phrase:


Damit geht die Meldung aber mMn. nicht auf das Problem der möglichen IP-Sperre ein und der Nutzer denkt, der Saftladen ist mal wieder kaputt und wenn das oft genug passiert... kommt der Nutzer nicht mehr wieder.

Ich hab das mal um nen Hinweis auf eine mögliche temporäre IP-Sperre ergänzt und ebenso um den Hinweis wie man mir den Fehler melden kann damit ich mich kümmern kann.


Frage - es ist in solchen unbegründeten Fällen häufig der Jail "plesk-apache" der Auslösende:


Kann man den irgendwie entschärfen? Mich hat dieser schon geblockt obwohl ich wissentlich keine einzige fehlerhafte Eingabe bei Logins hatte. X IP-Bereich zu whitelisten kann ja auch nicht die Lösung sein.

 

[Masetrix]

Ich hatte das Phänomen hier als ich die WAF nutzte.
Mit F2B hatte ich diese Probleme nur wenn ich zu viele "Fehlversuche" beim PW eingeben hatte.

Du kannst auch im WAF-Log schauen, was das Problem auslöst und die zugehörige Regel deaktivieren.
WAF mit XF ist eine heikle Sache. Ich habe das deshalb hier nur noch für unsere WordPresses aktiviert.

 

[otto]

WAF (für alle uneingeweihten Web Application Firewall - ModSecurity) setze ich auch ein, allerdings bisher nur protokollierend, weil ich damit erhebliche Probleme habe die WAF für Xenforo + Shopware + Wordpres + ... so einzurichten, dass noch alles funktioniert.

Und als Brutforce Schutz ist Fail2Ban halt schon nicht ganz schlecht. Ich hab jetzt mal die Sperrzeiten bei den Standard Jails herab gesetzt und den recipe Jail eingerichtet - mal beobachten ob das dann in Summe effektiver und mit weniger false positiv läuft.

 

[Hoffi]

Die Meldung ist sehr generisch.
Die erscheint z.B. auch wenn du Offline bist und die PWA öffnest.

 

[otto]

Defakto wäre es günstig, wenn die Fehlermeldung etwas ausgibt was dann gezielte weitere Schritte erleichtert. Ich werds nun mit etwas mehr Text mal testen und schauen wie es am Ende läuft - bestenfalls sieht die Meldung niemand je wieder.

 

[Tealk]

Ich kann grad irgendwie nicht folgen, was hat Fail2Ban mit der Xenforo Meldung zu tun?
Bei Xenforo ist das doch eine allgemeine Meldung die bei etlichen Fehlern angezeigt werden kann.

 

[otto]

Ganz einfach - wird deine IP von Fail2Ban gesperrt (offenbar mitunter nicht so ganz berechtigt) dann kannst du die Seiten nicht mehr laden und es kommt statt dessen besagte Meldung vom Xenforo (andere Seiten liefern auch nen 503 oder einfach ne leere Seite).

Mir geht es nicht um nen Admin - sondern um nen unbeleckten Nutzer. Der hat von Fail2Ban keine Ahnung und die Meldung hilft ihm nicht weiter. Deshalb hab ich meine Meldung dahingehend erweitert, das es eben auch ursächlich eine IP-Sperre sein könnte und sich der Nutzer bitte an einen Admin wenden möge (Email).

Denn ohne den zusätzlichen Hinweis (so berichten Nutzer) hätten sie es mehrfach versucht und irgendwann dann aufgegeben - wären also weg. Und genau das möchte ich nicht, nur weil Fail2Ban bisl zu sringend konfiguriert ist.

Ich hab nun die Meldung abgeändert/ergänzt und Fail2Ban weniger stringend eingestellt. Jetzt beobachte ich und warte ob der Dinge...

 

[Hoffi]

Aber der User wird dann ja nicht nur bei dir Probleme haben. Das Problem ist ja eher Fail2Ban.
Und vielleicht hat Fail2Ban den User ja sogar zurecht gebannt, weil er einen Trojaner auf dem Rechner hat und Teil eines Botnetzes ist?

 

[Tealk]

Mich wundert das Xenforo überhaupt noch ausgeliefert wird, sollte die IP nicht komplett gebannt sein und man bekommt ein "kann seite nicht erreichen" im browser?

Aber ja mir wäre auch nicht bekannt das Fail2Ban viele false positive hätte.

 

[Hoffi]

Mich wundert das Xenforo überhaupt noch ausgeliefert wird, sollte die IP nicht komplett gebannt sein und man bekommt ein "kann seite nicht erreichen" im browser?

Das kommt über die PWA.

 

[otto]

Und vielleicht hat Fail2Ban den User ja sogar zurecht gebannt, weil er einen Trojaner auf dem Rechner hat und Teil eines Botnetzes ist?

Möglich - aber auch dann ist dem Nutzer besser geholfen, wenn er etwas mehr als nur den Status als Fehlermeldung bekommt.

Mich wundert das Xenforo überhaupt noch ausgeliefert wird, sollte die IP nicht komplett gebannt sein und man bekommt ein "kann seite nicht erreichen" im browser?

Das kommt über die PWA.

Exakt.

Aber ja mir wäre auch nicht bekannt das Fail2Ban viele false positive hätte.

Naja, hab mich da vielleicht falsch ausgedrückt - wenn ich die Grenzen zu stark verschärfe und dann nen Nutzer wie mich habe (ich hab sehr viele Accounts und vertippe mich auch gern mal bei den Passwörtern) dann geht das fixer und langanhaltender als es Sinn macht. Ich hatte die Sperrzeit drastisch rauf gesetzt und den Zeitraum ebenso - das heist man konnte sich in 1 Woche 6x vertun und dann war Ende für nen Monat. War wohl nicht so clever das so zu machen.

Sei es drum - ich hab Fail2Ban wieder etwas mehr an die default Werte gerückt (hatte es teils wohl zu drastisch geschärft) und werde ja sehen wohin die Reise geht.