[Eisfair] BFB - Accesslistscan
Dirk Alberti
Howy-1 at gmx.de
Fr Sep 18 19:03:05 CEST 2020
Hallo Olaf,
ich hab mal bissl recherchiert... ;-)
Am 15.09.20 um 21:45 schrieb Olaf Jaehrling:
> Hallo Dirk,
>
> Dirk Alberti schrieb am 15.09.20 um 14:03:
>> Am 15.09.20 um 11:25 schrieb Dirk Alberti:
>>> Hallo zusammen,
>>>
>>>
>>> mich hat beim mobilen Zugriff übers Laptop von außen auf meinen
>>> Apachen der BFB nun schon ein paarmal rausgeschmissen mit der
>>> Begründung "Accesslistscan". Mein Laptop hat ständige Verbindung auf
>>> Nextcloud meines Servers, darüber geht Ordnersync und cardav/caldav.
>>> Nur woher kommen diese Accesslistscans? Ist da in BFB irgendwas "zu
>>> scharf" eingestellt?
>>> Zwischendurch gehts dann aber auch wieder stundenlang, ohne dass er
>>> mich blockiert.
> Was steht denn in
> /var/log/brute_force_blocking/brute_force_blocking_debug.log
> access_log
> access_log.ssl
> error_log
> error:log.ssl
>
>
>>> Gruß, Dirk
>>>
>> Ergänzung: BFB-Version ist die 1.0.18.
>> Meines Erachtens nach habe ich dieses Verhalten erst seit dem Updache
>> rausate auf diese Version.
> Da das kann schon sein, da in der vorherigen Version ein Fehler war, der
> unter bestimmten Voraussetzungen eine Attacke nicht erkannt hat (404 im
> eccesslog)
>
> Es könnte also durchaus sein, dass beim Zugriff auf den Nextcloudordner
> eine Datei gesucht wird, welche nicht da ist. Das sollte aber in den
> Logfiles zu sehen sein.
...und jetzt den Übeltäter identifiziert: Es ist das Thunderbird-Addon
"TBSync", welches die Kontakte, Adressbücher und Aufgaben von
Thunderbird per DAV mit Next-/Owncloud synchronisiert.
Das sucht auf der *-cloud nach
"/owncloud/remote.php/dav/addressbooks/groups/user/" und
"/owncloud/remote.php/dav/addressbooks/groups/admin" , was es da aber
nicht gibt.
192.168.1.19 - - [18/Sep/2020:18:24:09 +0200] "PROPFIND
/owncloud/remote.php/dav/addressbooks/groups/admin/ HTTP/1.1" 404 188
"-" "Thunderbird CalDAV/CardDAV" 933 1040
192.168.1.19 - - [18/Sep/2020:18:24:10 +0200] "PROPFIND
/owncloud/remote.php/dav/addressbooks/groups/user/ HTTP/1.1" 404 188 "-"
"Thunderbird CalDAV/CardDAV" 932 1040
Im Log von TBSync steht unter der Überschrift "Ignorierter Fehler (404)"
unter anderem:
Response:
<?xml version="1.0" encoding="utf-8"?>
<d:error xmlns:d="DAV:" xmlns:s="http://sabredav.org/ns">
<s:exception>Sabre\DAV\Exception\NotFound</s:exception>
<s:message>File not found: groups in 'addressbooks'</s:message>
</d:error>
Nach einigem Suchen fand ich auch was dazu im Github von TBSync, was
sinngemäß besagt, dass man das einfach ignorieren soll. Die
Synchronisierung funktioniert ja trotzdem.
Also werde ich wohl damit erstmal leben müssen. Mal sehen, ob ich was
anderes für die Synchronisation finde.
> Gruß
>
> Olaf
Gruß, Dirk
Mehr Informationen über die Mailingliste Eisfair