[Eisfair] BruteForceBlocking: banner exchange Fehler

Marcus Röckrath marcus.roeckrath at gmx.de
Sa Apr 23 08:11:58 CEST 2022 

Hallo Olaf,

Olaf Jaehrling wrote:

>> Gerne, ist ja mein erster Versuch mit BFB. Sammelt fleißig die Attacker
>> ein, hatte mich aber auch gerade ausgesperrt.
>> 
>> 1. Ramdisk-Betrieb unbrauchbar, da die mit 2MB dafür viel zu klein war.
>> Habe das dann abgeschaltet.
> 
> Die 2 MB sind zu klein? Ich habe noch nie die 1MB geschafft, trotz 620
> gesperrter IP-Adressen.
> tmpfs  tmpfs  2.0M  524K  1.5M  26% /brute_force_blocking
> bfb-db.sh display |wc -l
> 620

Habe ein 16er-Netzblock als Free eingetragen, was die DB massiv aufbläbt,
aber auch Ewigkeiten zur Erstellung der DB benötigt - habe das erstmal
wieder rausgenommen.

>> 2. Das cgi zunächst in das Standard CGI-Verzeichnis kopieren lassen, dann
>> aber noch das Unterverzeichnis auth hinzugefügt, wonach dann das cgi
>> sowohl in /var/www/cgi-bin als auch in /var/www/cgi-bin/auth lag >
>> 3. Das index.html bekommt von der Pfadänderung des cgi nichts mit.
> 
> Die sollte das eigentlich mitbekommen. Dumme Frage .. Du hast das im
> Setup geändert, oder? :)

Ja, die index.html habe ich dann aber manuell korrigiert, als das nicht
funktionierte.

>> 4. Rufe ich in der Übersichtseite die Details einer geblockten IP auf,
>> kommt eine nichtexistente URL raus:
>> 
>> http://.......:..../cgi-bin/brute_force_blocking/92.255.85.135.html
> 
> Was sagt denn die Variable
> BFB_OWN_WEBDOMAIN_NAME

BFB_OWN_WEBDOMAIN_NAME='http://localhost'

Habe aber von außen auf die index.html zugegriffen, also über
http://ip:port/... zugegriffen.

>> Die IP-HTML-Seiten liegen aber doch
>> unter /var/www/htdocs/brute_force_blocking.
>
>> 5. Wo kommt eigentlich das Verzeichnis /brute-force_blocking (also in /)
>> her? Soll das so?

> Jein. Das Verzeichnis wird angelegt wenn du BFB mit RAMDISK verwendest.

Habe ich dann auch gemerkt, das das Verzeichnis von der Ramdisk herrührt.

> Wenn du das im setup ausschaltest und neu startets sollte das 
> Verzeichnis eigentlich gelöscht werden. Allerdings habe ich auch schon 
> mitbekommen, dass das initscript versucht das Verzeichnis zu löschen 
> wenn das BFB-Script noch nicht beendet/durchgelaufen ist. Dann kann das 
> Verzeichnis nicht gelöscht werden. Das habe ich schon mit einem Delay 
> versucht zu lösen, hat aber offensichtlich doch noch nicht geklappt.

Der Erststart verlief ja auch chaotisch, weil die Ramdisk durch den großen
Freeblock rasend schnell voll war.

Vielleicht der Grund für weitere Probleme danach.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair