[Eisfair] BruteForceBlocking: banner exchange Fehler

[Marcus Röckrath]

Hallo Olaf,

Olaf Jaehrling wrote:

>>> In allen Logs auf einem Server (also in den letzten 6 Monaten) über
>>> 2000mal.
>>> Frequenz ist alle paar (10?) Minuten, was für BruteForce-Erkennung
>>> vermutlich doch zu selten ist.
>> 
>> Das lohnt sich dann doch schon. Pack ich in die Slow-Schleife mit rein.
>> Wird aber leider erst was nach Ostern.
> 
> ich habe die Version 2.0.4 jetzt mal hochgeladen. Sie lief auf meinen
> Servern bisher ohne Probleme undf hat auch alles erkannt. Leider habe
> ich nicht sonderlich viele "banner exchange" Einträge, so dass ich
> nichts dazu sagen kann, ob BFB die jetzt sauber erkennt.
> 
> Wäre nett wenn du mir dazu Rückmeldung geben könntest.

Gerne, ist ja mein erster Versuch mit BFB. Sammelt fleißig die Attacker ein,
hatte mich aber auch gerade ausgesperrt.

1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war. Habe
das dann abgeschaltet.

2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi sowohl
in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag.

3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.

4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf, kommt
eine nichtexistente URL raus:

http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html

Die IP-HTML-Seiten liegen aber doch
unter /var/www/htdocs/brute_force_blocking.

5. Wo kommt eigentlich das Verzeichnis /brute-force_blocking (also in /)
her? Soll das so?

-- 
Gruß Marcus
[eisfair-Team]