[Eisfair_dev] BFB 0.8.3 immer noch Problem mit *.html

Olaf Jaehrling eisfair at ojaehrling.de
Di Dez 20 23:56:28 CET 2016 

Hallo Marcus,

Marcus Roeckrath schrieb am 20.12.2016 um 19:23:
> Hallo Olaf,
> 
> Olaf Jaehrling wrote:
> 
>>>
>>> Wie sieht der korrekte Dateiname aus?
>> korrekt:
>> IP.Adre.ss.e.html
> 
> Detlef postete:
> 
> createhtml_ipaddress=62.157.140.133
> 80.156.86.78
> createhtml_root=/var/www/htdocs/brute_force_blocking
> createhtml_dateiname=/var/www/htdocs/brute_force_blocking/62.157.140.133
> 80.156.86.78.html
> 
> Also zwei Adressen; könnte da ein LF zwischen den beiden IPs reinrutschen.

Jupp, das ist die aktuelle Mail. Beim Urspruungsposting
(http://forum.nettworks.org/index.php?t=msg&th=7712&start=0&)
war dieser Fehler noch nicht da. Da wurde von der IP 185.53.178.10
angegriffen und in den logfiles bzw den PM's sah auch alles korrekt aus.
In dem Thread hier jetzt kommt das ein bisschen anders rüber, weil hier
offensichtlich ein anderes Problem auch noch auftaucht. Dafür habe ich
aber noch wendiger eine Erklärung. In den mir aktuell zur Verfügung
stehenden Logfiles sehe ich nur eine ip-Adresse (89.248.168.213), aber
es wird alles mögliche durcheinander gewürfelt. Also nicht mit der
Ursprungsfehlermeldung zu tun. Aber erlaube mir trotzdem den Spaß dich
ein wenig zu verwirren (ich bin es nämlich zur Zeit auch) ..

gekürtzt ..

IP 89.248.168.213 hat web versucht
starte Auswertung
Accesslistscan
ip=89.248.168.213
Traceroute soll gemacht werden
gehe zu _traceroute
starte traceroute zu 89.248.168.213
Whois soll gemacht werden
gehe zu _whois
starte whois von 89.248.168.213
starte blocking
20.12.2016 11:34:17
Blocke die IP  89.248.168.213
blocke lokal.
/sbin/iptables -I BFBBLOCK -s 89.248.168.213 -j REJECT
sende Mail
Subject: brute force attack detected
To: root at home.lan
From: root at localhost
erzeuge insgesamt 1 mail mit foldenden Daten
Subject: brute force attack detected
To: root at home.lan
From: root at localhost
eisfair detected an attack from 89.248.168.213 to APACHE Accesslistscan
on 20.12.2016 11:34:17
see details on
http://gekuerzt_von_ojae/brute_force_blocking/89.248.168.213.html too

========================================================
Use of the encoding pragma is deprecated at /usr/bin/gwhois line 80.
Process query: '89.248.168.213'
Query recognized as IPv4.
Querying whois.ripe.net:43 with whois.

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Information related to '89.248.168.0 - 89.248.168.255'

% Abuse contact for '89.248.168.0 - 89.248.168.255' is
'abuse at quasinetworks.com'

inetnum:        89.248.168.0 - 89.248.168.255
netname:        SC-QUASI33
descr:          QUASI
country:        SC
org:            ORG-QNL3-RIPE
admin-c:        QNL1-RIPE
tech-c:         QNL1-RIPE
status:         ASSIGNED PA
mnt-by:         QUASINETWORKS-MNT
mnt-lower:      QUASINETWORKS-MNT
mnt-routes:     QUASINETWORKS-MNT
created:        2008-06-20T13:08:44Z
last-modified:  2016-01-23T22:09:38Z
source:         RIPE

% Information related to '89.248.168.0/24as29073'

route:          89.248.168.0/24
descr:          Quasi Networks LTD (IBC)
origin:         as29073
mnt-by:         QUASINETWORKS-MNT
created:        2007-01-23T11:51:50Z
last-modified:  2015-11-09T13:21:41Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.88
(HEREFORD)





-- 
  To resolve one of the above handles: whois -h whois.ripe.net HANDLE
  OTOH offical handles should be recognised directly.
  Please report errors or misfits via the debian bug tracking system.


========================================================
traceroute to 89.248.168.213 (89.248.168.213), 20 hops max, 60 byte packets
 1  fritz.box (192.168.0.1)  0.375 ms
 2  62.155.240.15 (62.155.240.15)  8.671 ms
 3  hh-ea8-i.HH.DE.NET.DTAG.DE (62.154.32.214)  15.540 ms
 4  80.150.168.162 (80.150.168.162)  15.719 ms
 5  hbg-bb4-link.telia.net (213.155.135.88)  16.149 ms
 6  ffm-bb4-link.telia.net (62.115.138.172)  23.869 ms
 7  ffm-b12-link.telia.net (62.115.141.227)  23.403 ms
 8  m247-ic-319211-ffm-b12.c.telia.net (213.248.84.211)  40.207 ms
 9  te-6-4-0.bb2.fra1.de.m247.com (176.10.82.38)  35.698 ms
10  vlan3555.bb1.ams2.nl.m247.com (193.27.64.157)  39.718 ms
11  *
12  89.248.168.213 (89.248.168.213)  41.523 ms
createhtml_ipaddress=62.157.140.133
80.156.86.78
createhtml_root=/var/www/htdocs/brute_force_blocking
createhtml_dateiname=/var/www/htdocs/brute_force_blocking/62.157.140.133
80.156.86.78.html
ip=89.248.168.213
logfile=/var/www/log/schabau_error_log
vhostname1=gekuerzt_von_ojae
accesslogfile=/var/www/log/gekuerzt_von_ojae_access_log
FQDN_ANGREIFER=89.248.168.213



Wie du siehst wird 89.248.168.213 angegriffen aber im logfile taucht
parallel 62.157.140.133 und 80.156.86.78 auf. Woher die kommen ist mir
zur Zeit noch nicht klar. Vermutung wäre ein gleichzeitiger Angriff von
einer diese IP's via SSH, Mail ..... und BFB schmeißt da was durcheinander.

Das muss ich aber erst noch mit Hilfe von Detlef auswerten.


Gruß und Gute Nacht






> 
> Da kann nämlich ganz Lustiges passieren:
> 
> eis # echo "$f"
> 1
> 2
> eis # touch "$f"
> eis # ls -la
> total 8
> drwxr-xr-x  2 root root 4096 Dec 20 19:20 .
> drwx------ 16 root root 4096 Dec 20 18:30 ..
> -rw-r--r--  1 root root    0 Dec 20 19:20 '1'$'\n''2'
> 
> Toller Dateiname, im mc zeigt der dann 1.2.
> 
> Warum sind da bei ihm zwei IP-Adressen?
>

Mehr Informationen über die Mailingliste Eisfair_dev