home » search tags
Die Suche tag = fail ergab 4 Treffer:

Juni
17
Docker unter Linux ist Top, aber unter Windows eher ein Flopp



Es soll nur keinen Hyper-V neben mir geben? Geht's noch?
Januar
7
Eigentlich wollte ich das Thema NCSoft aufsich beruhen lassen, da es keine Möglichkeit gab eine entsprechende Anfrage bzw. ein Hinweis auf deren (schrottiges) Mailing loszuwerden...

Aber ich dachte mir Hey, gib den Jungs doch wenigstens eine Chance....

Nachdem ich also eine Mail an support@ncsoft.com verfasst habe, in der ich detailiert und im besten Sonntagsenglisch das Problem erklärt habe kam eine Mail (ebefalls von support@ncsoft) mit folgendem Inhalt:
PLEASE NOTE:

We are currently directing all requests to our game specific sites and will no longer be accepting requests via the support@ncsoft.com email address. This request will be set to Closed and will not receive a response. Please visit http://help.ncsoft.com and click on the icon for the game you need assistance with. From there, you can browse our knowledge base for the answer to your questions. If you are unable to locate the answer to your problem, please submit a request from the game site and we will assist you as quickly as possible.

We apologize for any inconvenience this may cause.

NCSOFT Support Team


Da fällt mich echt nichtsmehr ein m(

Achja, diese Mail kam von einem Host der auch einen entsprechenden DNS hat
relay=ncwedge02.us.ncsoft.com[64.25.42.36]

Januar
5
Ich bin nur ein Gelegenheitsspieler, aber wenn ich nochmals ein Spiel von NCSoft anfassen sollte, dann...

Nun aber mal der Reihe nach... eigentlich wollte ich in meinem Urlaub nur eine Runde Aion spielen, da ich schon einen Account hatte (irgendwann vor Jahren mal erstellt) wollte ich mich nur nur mal eben schnell anmelden. NCSoft nutzt aber eine Account Schutzfunktion:
Diese IP-Adresse ist nicht authorisiert, auf Ihren Account zuzugreifen. Aus Sicherheitsgründen informieren wir Sie immer, wenn von einem unbekannten Standort aus auf Ihren Account zugegriffen wird.

Na OK, dann schau ich eben in meine Mails. Doch auch nach über 1Std. war noch keine Mail angekommen. Ein Blick in das Logfile auf dem Server zeigte auch den Grund:
Jan  5 20:19:51 localhost postfix/smtpd[22831]: warning: \
hostname 64.25.41-52.ncsoft.com does not resolve to address 64.25.41.52: \
Name or service not known

Jan 5 20:19:51 localhost postfix/smtpd[22831]: NOQUEUE: reject: \
RCPT from unknown[64.25.41.52]:450 4.7.1 Client host rejected:\
cannot find your hostname, [64.25.41.52]; from=support@ncsoft.com to=XXX@XXX \
proto=ESMTP helo=ncwedge99.us.ncsoft.com

Durch ein anschließendes dig stellte sich heraus das für diese IP kein rDNS und kein MX besteht.

Dann bohren wir doch mal weiter und schauen uns den MX für ncsoft.com an:
dig ncsoft.com MX

;; ANSWER SECTION:
ncsoft.com. 3537 IN MX 30 smtp1.ncsoft.net.
ncsoft.com. 3537 IN MX 20 ncwedge01.us.ncsoft.com.
ncsoft.com. 3537 IN MX 20 ncwedge02.us.ncsoft.com.


Aha, es gibt also drei MX für ncsoft.com, da kann man nur hoffen das einer davon auf 64.25.41.52 verweist, doch weit gefehlt
smtp1.ncsoft.net.	60	IN	A	211.189.163.230
ncwedge01.us.ncsoft.com. 3444 IN A 64.25.42.38
ncwedge02.us.ncsoft.com. 3440 IN A 64.25.42.36

Da ich mich weigere meinen Mailserver anzupassen oder die entsprechende IP auf eine whitelist zu setzten, wollte ich NCSoft auf deren (IMHO) grundlegendes Problem hinweisen. Doch was erscheint wenn man auf deren Supportseite auf contact us klickt? Richtig! Das Loginformular welches sich beschwert das festgestellt hat, das ich mich von einer neuen Adresse aus einloggen möchte...

Da kann man sich wirklich nur an den Kopf fassen und ich kann nur sagen shame on you NCSoft!

Und so ein Laden nutzt ein komplettes /20 Netz (64.25.32.0/20)... welch eine Verschwendung von IPv4.
April
25
Mittels fail2ban lassen sich (mehr oder weniger) wirksam und automatisiert, unerwünschte Zugriff auf einen Server verhinden und protokollieren.

Um die Daten (z.B. wer hat wann, wie und auf welche Art versucht sich unlauter am System anzumelden) zu visualisieren gibt es verschiedene Ansätze.
Aktuell nutze ich auf div. Systemen eine Mischung aus Logstash, Elasticsearch und Kibana.

Ich gehe davon aus, das bereits eine Umgebung der genannten Komponenten läuft und gehe daher nicht auf die Installation ein.

Die von mir genutzte Konfiguration von fail2ban sieht wie folgt aus

loglevel = 3
logtarget = /var/log/fail2ban.log
socket = /var/run/fail2ban/fail2ban.sock



Wichtig für die weitere Konfiguration ist der Pfad zum Logfile (logtarget), in diesem Beispiel /var/log/fail2ban.log

Die Einträge im Logfile haben folgendes Muster (wobei www.xxx.yyy.zzz die IP darstellt):

2014-04-24 03:43:11,315 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 05:17:38,490 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 10:51:26,914 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 16:20:17,831 fail2ban.actions: WARNING [postfix] Ban www.xxx.yyy.zzz
2014-04-24 18:40:26,777 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 23:23:48,630 fail2ban.actions: WARNING [sasl] Unban www.xxx.yyy.zzz
2014-04-25 03:43:11,729 fail2ban.actions: WARNING [ssh] Unban www.xxx.yyy.zzz



Um das Logfile korrekt von Logstash verarbeiten zu lassen, benötigen wir passende Filter:

FAIL2BAN %{GREEDYDATA:timer} fail2ban.actions: %{GREEDYDATA:severity} \
[%{GREEDYDATA:service}\] %{FAIL2BAN_ACTION:action} %{IPV4:remoteaddr}



Nun kann man das Logfile von fail2ban in Logstash einbinden:

input {
file {
path => "/var/log/fail2ban.log"
type => "fail2ban"
tags => "fail2ban,system,security"
}
}

filter {
if [type] == "fail2ban" {
grok {
patterns_dir => ["/opt/logstash/patterns"]
match => ["message", "%{FAIL2BAN}"]
add_tag => [ "fail2ban_action" ]
}
}
if [remoteaddr] {
geoip {
source => "remoteaddr"
target => "geoip"
database => "/opt/logstash/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float" ]
}
}

}



Nach einem restart/reload von Logstash muss man nur warten (was meist nicht sonderlich lange dauert) bis die ersten Zugriffe von fail2ban geloggt wurden.

Anschließend kann man innerhalb von Kibana (über den Tag fail2ban) die anfallenden Daten visualisieren:

Im folgenden Beispiel sind die Aktionen wie folgt eingefärbt:

Ban = grün
Unban = gelb