XF1+2 Fail2Ban, ModSecurity, Firewall Fragen?

[otto]

Ubuntu 18.x LTS dedicated root Server, u.a. Fail2Ban als Brutforce-Schutz und ModSecurity als WAF aktiv.

Fail2Ban

Ich hatte mich die Wochen immer schon mal gewundert, warum ich mich mit einer meiner zum Zeitpunkt vergebenen Telekom-IP ich keinen Zugriff mehr auj jegliche Domains meines Server hatte, Plesk ging aber immer.
Heut hab ich in einem Akt der Verzweiflung mal bei fail2ban in die Blockliste geschaut und mehrere meiner IPs, aber nicht alle (!) in der Liste gefunden. Ich wurde also von fail2ban und des jail plesk-apache ausgesperrt.

eingestellt ist eine mittlere einstellige Anzahl an Fehlversuchen, die ich zumindest heute im betreffendem Zeitraum definitiv nicht hatte - warum also passiert es sporadisch das mit fail2ban aussperrt?

Hat mit mir eigentlich noch ein anderer Telekom Kunde gleichzeitig meine dynamische IP? Meine IP wird alle 24h gewechselt, daher kann es ja auch sein, das wer anders heute den F2B Zähler hoch treibt und ich morgen mit einem einzigen Fehler die Sperre auslöse - kann das passieren oder ist das Quatsch?


Hier die Einstellungen des jail:


@McAtze
Du bist doch auch noch Strato bewandert und damit Plesk-beleckt (geil, was mir so alles einfällt )
Kannst du mal bei dir schauen, wie dein plesk-apache jail konfiguriert ist, bitte?

@alle anderen
Gern auch ihr, ich hab da nie was angefasst und die Standard Installation einfach laufen lassen und hatte damit aber auch bis dieses Frühjahr nie Probleme.

Bei "Filtern" bietet er ja verschiedene Filter an:

Ist manchmal der Filter der falsche?​

ModSecurity

Und wo wir schon bei sind - welche Regelliste verwendet ihr bei eurer Web Aplicatiob Firewall ModSecurity?
Ich hab aktuell den kostenlosen Satz von Comodo aktiv, bin aber damit nur so mittelprächtig happy. Welchen Regelsatz verwendet ihr? Oder gar eigene Regeln und wenn ja welche (gern per PN wenns um Details geht).
​

Firewall

Auch hier würde ich mich über ein wenig Erfahrungsaustausch freuen. Sperrt jemand komplette Kontinente anhand von IPs? Ich mein für ein Deutsches Teichforum sind russische oder taiwanesische Nutzer eh tendenziell uninteressant.
Habt ihr besondere Regeln, abweichend von den typischen Standardregeln? Wenn ja welche? Auch heir notfall gern Details per PN.

​

 

[Tealk]

Hat mit mir eigentlich noch ein anderer Telekom Kunde gleichzeitig meine dynamische IP?

Das sollte nicht vorkommen, sonst hätten wir ein größeres Problem als das du dich nur ausgesperrt hast/wurdest.

Meine IP wird alle 24h gewechselt, daher kann es ja auch sein, das wer anders heute den F2B Zähler hoch treibt und ich morgen mit einem einzigen Fehler die Sperre auslöse - kann das passieren oder ist das Quatsch?

Theoretisch ja, Praktisch, wo hat der all die Daten her die er dafür braucht? Dann müsste der das schon sehr gezielt machen.

In der Log die abgefragt wird sollte doch stehen was und wann die IP diese Fehlversuche hatte, könnte einen Hinweis geben.

ModSecurity

Nie gehört oder benutzt, ne Plesk sache?

Firewall

Alles gesperrt außer die Ports die erreichbar sein müssen/sollen

 

[McAtze]

Du bist doch auch noch Strato bewandert und damit Plesk-beleckt (geil, was mir so alles einfällt )
Kannst du mal bei dir schauen, wie dein plesk-apache jail konfiguriert ist, bitte?

Bin seit ein paar Jahren weg von Strato und zu Netcup gewechselt, aber Plesk nutze ich weiterhin.



Die Problematik hatte ich auch mal eine Zeitlang. Da musste ich per VPN auf Plesk und meine öffentliche IP auf die Whitelist setzen. Das ging gut und gerne mal 2-3 Wochen dann war Ruhe.

ModSecurity
Und wo wir schon bei sind - welche Regelliste verwendet ihr bei eurer Web Aplicatiob Firewall ModSecurity?
Ich hab aktuell den kostenlosen Satz von Comodo aktiv, bin aber damit nur so mittelprächtig happy. Welchen Regelsatz verwendet ihr? Oder gar eigene Regeln und wenn ja welche (gern per PN wenns um Details geht).

Nutze ich auch. Manchmal nervt er, aber er läuft..

 

[otto]

@Tealk
SpiderLabs/ModSecurity
Web Application Firewall (ModSecurity)
Apache ModSecurity » ADMIN-Magazin

Das Tool filtert den Datenverkehr und blockiert je nach Regelsatz bei Verstößen automatisch die IP. Quasi wie eine dynamische Firewall auf Anwendungsebene. So kann man je nach Regelsatz auch z.B. SQL injection erkennen und die entsprechende IP nach x Verstößen für eine Zeit y blocken.
Damit ist ModSec also flexibler als die ja eher statische normale Firewall.

Die Problematik hatte ich auch mal eine Zeitlang. Da musste ich per VPN auf Plesk und meine öffentliche IP auf die Whitelist setzen. Das ging gut und gerne mal 2-3 Wochen dann war Ruhe.

Der Witz ist ja - es betraf stehts "nur" sämtliche Websites/Foren/Blogs auf meinem Server, nie jedoch Plesk selbst - da kam ich immer drauf.
Einerseits dachte ich die WAF blockt nur Domain-basiert, was ja dann wohl doch nicht der Fall ist und andererseits warum dann nicht auch bei Plesk? Oder blockt ModSec nur die IPs auf bestimmten Ports?

 

[otto]

Eben hat mich Fail2Ban wieder mal ausgeschaltet (IP gesperrt) es passierte wie ich gerade in einem meiner Wordpress die Plugin-Seite laden wollte...



19:58 hatte ich die Pluginseite eines meiner Wordpress geladen, in dem ich jedoch angemeldet war und gerade eben ein Style-Update erfolgreich durchlaufen ließ. Ich war also 100% angemeldet und kein Anlass für Fail2Ban.
Der selbe Mist könnte ja auch Nutzern passieren. Wie komm ich dem Thema auf die Schliche um es abzustellen?

Was ein nerviger Scheiß.

 

[otto]

Der Fail2Ban jail error ist der AH01797 client denied by server configuration und dann ein Pfad zu einer Grafik aus meinem Xenforo (Avatar oder Attachment)

Könnte das im Bereich same_origin angesiedelt sein? Also ne Fehlkonfiguration von mir?

Das betreffende Wordpress ist per [bd] API an das Xenforo gekoppelt und holt sich von dort die Avatar-Grafiken z.B..
Das Wordpress befindet sich in name.forum.de und das Forum unter forum.de

Der Error wird auch von Bots ausgelöst (Google, Bing,...)

EDIT: Ich denke, ich habe es gefunden:
Ich hatte vor Jahren mal in der .htaccess nen dezenten Schutz vor Bilderklau (einbinden meiner Bilder per Image-Linking in anderen Seiten) eingerichtet. Das war noch bevor die name.forum.de existierte. Ich hab dann wohl vergessen mit einrichten des Wordpress in der Subdomain, diese Subdomain als erlaubt in der .htaccess der Hauptdomain hinzuzufügen und im Ergebnis tat der jail was er sollte und Fail2Ban was es in so einem Fall tun muss - die betreffende IP aussperren.

Betreffender Teil der .htaccess:

<files ~ "\.(zip|gif|jpe?g|png|pdf|mp4|bmp)$">
ErrorDocument 403 https://www.forum.de/geklaut.gif
SetEnvIfNoCase Referer "^https://www.forum.de" local_ref=1
SetEnvIfNoCase Referer "^https://forum.de" local_ref=1
SetEnvIfNoCase Referer "^https://name.forum.de" local_ref=1
SetEnvIfNoCase Referer ^$ local_ref=1
SetEnvIfNoCase Referer "^https://www.facebook.com" local_ref=1
SetEnvIfNoCase Referer "^https://google.de" local_ref=1
SetEnvIfNoCase Referer "^https://google.com" local_ref=1
Order Allow,Deny
Allow from env=local_ref
</files>

Der Teil: "SetEnvIfNoCase Referer "^https://name.forum.de" local_ref=1" ist nun neu dazu gekommen und seither ist kein neuer Fehler geloggt worden.

Im Grunde werden damit Dateien mit entsprechender Endung vor Hotlinking geschützt und ggf. statt der unerlaubt verlinkten Dateien eine GIF Grafik mit dem Hinweis auf Datenklau ausgegeben.

Der Fehler lag also vermutlich, recht sicher, ziemlich klar bei mir.