Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: MarroniJohny on November 10, 2025, 04:02:11 PM

Title: Leute im Plesk Jail
Post by: MarroniJohny on November 10, 2025, 04:02:11 PM
Hoi

Hat nicht direkt was mit OPNsense zu tun. Aber hier sitzt sicher Jemand, der da Licht in die Sache bringen kann.

Und zwar habe in einem VLAN (DMZ) neben diversen anderen Windows und Linux ein Plesk auf Debian. Auf das Plesk sind nur TCP 80 und 443, sowie UDP 443 weiter gereicht. DNS mache ich extern. Trotzdem war da gestern wer im Plesk Jail (F2B), und zwar von einer IP Adresse von Microsoft (130.131.162.253). Frage mich, wie das sein kann. Einziges was ich mir vorstellen könnte, ist dass da von innen angegriffen wird, also direkt aus der DMZ. Aber dann würde ja wohl eine private Adresse im Jail sitzen. Oder kann es sein, dass jemand wegen 80/443 ins Jail kommt? Wüsste nicht warum.

Gruss und danke
Title: Re: Leute im Plesk Jail
Post by: meyergru on November 10, 2025, 04:06:52 PM
Na klar. Die IP ist bei ipinfo.io als abusive gelistet. Die scannen systematisch Web-Anwendungen auf Schwachstellen.
Title: Re: Leute im Plesk Jail
Post by: MarroniJohny on November 10, 2025, 04:11:36 PM
Ah, und das reicht, um ins Jail zu kommen? Habe ganz viele Adressen von Seiten die das Netz abscannen, so z.B. kriminalip.io, die gehen auch nicht ins Jail. Dachte ins Jail kommt man nur, wenn man sich z.B. auf 8443 mehrere Male erfolglos versucht einzuloggen.

Aber danke!

Mal gemini dazu befragt:

QuoteÜberwachung der Fail2Ban-Logs: Im Gegensatz zu anderen Jails überwacht das recidive-Jail nicht normale Dienst-Logs (z. B. sshd oder plesk-panel), sondern die eigenen Protokolle von Fail2Ban (/var/log/fail2ban.log).

  • Zählmechanismus: Es zählt, wie oft eine IP-Adresse innerhalb einer bestimmten Zeitspanne (z.B. 1 Tag) von irgendeinem anderen Fail2Ban-Jail gesperrt wurde.
  • Langzeit-Sperre: Erreicht die Anzahl der Sperren den konfigurierten Schwellenwert (maxretry), wird die IP-Adresse als "rückfällig" eingestuft und für eine sehr lange Dauer gesperrt (standardmäßig oft 1 Woche, kann aber auch Monate oder "permanent" sein).
  • Kurz gesagt: Wenn ein Angreifer nach seiner ersten kurzen Sperre (z.B. 10 Minuten) sofort wiederholt scheitert und erneut gesperrt wird, greift das recidive-Jail und verhängt eine harte Langzeitstrafe.

Wusste nicht, dass es da eine Art globaler Liste gibt. Dachte F2B bezieht sich nur auf das eigene System.
Text only | Text with Images