Leute im Plesk Jail

Started by MarroniJohny, Today at 04:02:11 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 04:02:11 PM
Hoi

Hat nicht direkt was mit OPNsense zu tun. Aber hier sitzt sicher Jemand, der da Licht in die Sache bringen kann.

Und zwar habe in einem VLAN (DMZ) neben diversen anderen Windows und Linux ein Plesk auf Debian. Auf das Plesk sind nur TCP 80 und 443, sowie UDP 443 weiter gereicht. DNS mache ich extern. Trotzdem war da gestern wer im Plesk Jail (F2B), und zwar von einer IP Adresse von Microsoft (130.131.162.253). Frage mich, wie das sein kann. Einziges was ich mir vorstellen könnte, ist dass da von innen angegriffen wird, also direkt aus der DMZ. Aber dann würde ja wohl eine private Adresse im Jail sitzen. Oder kann es sein, dass jemand wegen 80/443 ins Jail kommt? Wüsste nicht warum.

Gruss und danke
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
Today at 04:06:52 PM #1
Na klar. Die IP ist bei ipinfo.io als abusive gelistet. Die scannen systematisch Web-Anwendungen auf Schwachstellen.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Today at 04:11:36 PM #2 Last Edit: Today at 04:24:35 PM by MarroniJohny
Ah, und das reicht, um ins Jail zu kommen? Habe ganz viele Adressen von Seiten die das Netz abscannen, so z.B. kriminalip.io, die gehen auch nicht ins Jail. Dachte ins Jail kommt man nur, wenn man sich z.B. auf 8443 mehrere Male erfolglos versucht einzuloggen.

Aber danke!

Mal gemini dazu befragt:

QuoteÜberwachung der Fail2Ban-Logs: Im Gegensatz zu anderen Jails überwacht das recidive-Jail nicht normale Dienst-Logs (z. B. sshd oder plesk-panel), sondern die eigenen Protokolle von Fail2Ban (/var/log/fail2ban.log).

  • Zählmechanismus: Es zählt, wie oft eine IP-Adresse innerhalb einer bestimmten Zeitspanne (z.B. 1 Tag) von irgendeinem anderen Fail2Ban-Jail gesperrt wurde.
  • Langzeit-Sperre: Erreicht die Anzahl der Sperren den konfigurierten Schwellenwert (maxretry), wird die IP-Adresse als "rückfällig" eingestuft und für eine sehr lange Dauer gesperrt (standardmäßig oft 1 Woche, kann aber auch Monate oder "permanent" sein).
  • Kurz gesagt: Wenn ein Angreifer nach seiner ersten kurzen Sperre (z.B. 10 Minuten) sofort wiederholt scheitert und erneut gesperrt wird, greift das recidive-Jail und verhängt eine harte Langzeitstrafe.

Wusste nicht, dass es da eine Art globaler Liste gibt. Dachte F2B bezieht sich nur auf das eigene System.
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
Print
Go Up Pages1
User actions