• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

XF2.3 Fail2ban

mph

mph

Bekanntes Mitglied
Lizenzinhaber
Registriert
10. Jan. 2017
Beiträge
1.179
Punkte
223
XF Version
  1. 2.3.6
XF Instanz
Hosting
PHP-Version
8.3.x
MySQL/MariaDB
10.x
Provider/Hoster
Ionos
Plesk bringt ja das ein oder andere mit, um Jails für fail2ban anzulegen. 13 Stück sind nun aktiv. Es sind auch schon eine Reihe Bots geblockt.

Bis jetzt habe ich in den Logfiles nichts verdächtiges erkannt, dass jemand die XenForo Logins durchprobiert. Daher tue ich mir schwer, dazu einen passenden Filter anzulegen. Der Copilot hat mir dazu einen anderen Filter gebaut als ich als Beispiel in Google gesehen habe.

Hat jemand schon Filter / Jails für den XenForo Login, das Admin-CP gebaut?
 
Das hab ich noch über ein Addon auf Xenforo gelöst, das logt einlog Versuche und wer es übertreibt mit den Versuchen wird geblockt. Dazu hat das Addon ein Log wo die Versuche aufgelistet werden. Hab das im Xenforo 2.2.x aber denke das gibts auch fürs aktuelle - müsste ich mal raus suchen.
 
Fail2ban hat bereits für die Blockierung von 120 IPs gesorgt.
Was ich momentan ein bisschen blöd finde:

Wenn wieder ein ganzer Schwarm Bots da ist, ist die ganze Gästeliste voll mit folgenden Einträgen:

1780865630441.png

Davon hatte ich heute immer wieder über 60 Seiten mit 90% nur solchen Einträgen. Wenn von diesen Bots welche geblockt wurden, dann nur weil sie auch andere Dinge ausprobiert haben, die mit den Jails abgedeckt sind.

Leider leitet Xenforo selbst auf eine Login-Seite oder eine Fehlerseite um, ohne dass ich einen Eintrag in den Logfiles hätte, den ich mit fail2ban auswerten könnte. Oder habe ich da etwas übersehen?
 
Was die vielen Bots machen, die als Schwarm auftauchen (gestern für ein paar Minuten mehr als 5000), habe ich in den Error Logs herausgefunden. Die rufen fast alle misc/cookies auf und testen das mit angehängten Parametern durch. Dann hat man eine Gästeliste mit teilweise tausenden „Gästen“ die eine Seite oder Fehlerseite sehen und natürlich auch noch Modsecurity Warnings oder andere Einträge im Error Log hinterlassen.

Die sehen dann in den meisten Fällen einfach die Seite mit dem Cookie-Hinweis, ansonsten ein Oops… XenForo fängt das ab.

Immerhin landen viele dieser Bots schon jetzt über fail2ban in der Firewall in den blockierten IPs. Gestern ist das auf 160 angewachsen. Aber es sind doch noch zu viele Bots durchgekommen, weil sie zu wenig Warnungen ausgelöst haben, dass mein modsec-Filter nicht gegriffen hat. Da werde ich wohl meine Filter und Jails nochmal ergänzen müssen.

Immerhin hat man beim Aufrufen von echten Forenseiten davon kaum etwas gemerkt.
 
@otto Das hatte ich auch bereits gesehen. Ich bin unschlüssig was dieses Addon betrifft. Das ist halt ein Addon, was dann evtl. 5000 mal in kurzer Zeit bei einem Bot-Schwarm ausgeführt wird. Das benötigt Rechenzeit. Ich versuche es eigentlich lieber auf einer anderen Ebene, dass Bots, die Dinge austesten, einfach in der Blockliste der Firewall landen. Dann sehen sie eine ganze Weile gar nichts mehr, es wird kein unnötiges PHP ausgeführt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben