525全民配屋網是真的嗎, 525全民配屋網評價, 525全民配屋網, 525全民配屋網好嗎
Na OK, dann schau ich eben in meine Mails. Doch auch nach über 1Std. war noch keine Mail angekommen. Ein Blick in das Logfile auf dem Server zeigte auch den Grund:
Dann bohren wir doch mal weiter und schauen uns den MX für ncsoft.com an:
Aha, es gibt also drei MX für ncsoft.com, da kann man nur hoffen das einer davon auf 64.25.41.52 verweist, doch weit gefehlt
Da kann man sich wirklich nur an den Kopf fassen und ich kann nur sagen shame on you NCSoft!
Und so ein Laden nutzt ein komplettes /20 Netz (64.25.32.0/20)... welch eine Verschwendung von IPv4.
Wichtig für die weitere Konfiguration ist der Pfad zum Logfile (logtarget), in diesem Beispiel /var/log/fail2ban.log
Die Einträge im Logfile haben folgendes Muster (wobei www.xxx.yyy.zzz die IP darstellt):
Um das Logfile korrekt von Logstash verarbeiten zu lassen, benötigen wir passende Filter:
Nun kann man das Logfile von fail2ban in Logstash einbinden:
Nach einem restart/reload von Logstash muss man nur warten (was meist nicht sonderlich lange dauert) bis die ersten Zugriffe von fail2ban geloggt wurden.
Anschließend kann man innerhalb von Kibana (über den Tag fail2ban) die anfallenden Daten visualisieren:
Im folgenden Beispiel sind die Aktionen wie folgt eingefärbt:
Ban = grün
Unban = gelb
look mommy... no mouse!
home » search tags
Die Suche tag = fail ergab 2 Treffer:
Januar
5
Ich bin nur ein Gelegenheitsspieler, aber wenn ich nochmals ein Spiel von NCSoft anfassen sollte, dann...
Nun aber mal der Reihe nach... eigentlich wollte ich in meinem Urlaub nur eine Runde Aion spielen, da ich schon einen Account hatte (irgendwann vor Jahren mal erstellt) wollte ich mich nur nur mal eben schnell anmelden. NCSoft nutzt aber eine Account Schutzfunktion:
Diese IP-Adresse ist nicht authorisiert, auf Ihren Account zuzugreifen. Aus Sicherheitsgründen informieren wir Sie immer, wenn von einem unbekannten Standort aus auf Ihren Account zugegriffen wird.
Na OK, dann schau ich eben in meine Mails. Doch auch nach über 1Std. war noch keine Mail angekommen. Ein Blick in das Logfile auf dem Server zeigte auch den Grund:
Jan 5 20:19:51 localhost postfix/smtpd[22831]: warning: \
hostname 64.25.41-52.ncsoft.com does not resolve to address 64.25.41.52: \
Name or service not known
Jan 5 20:19:51 localhost postfix/smtpd[22831]: NOQUEUE: reject: \
RCPT from unknown[64.25.41.52]:450 4.7.1 Client host rejected:\
cannot find your hostname, [64.25.41.52]; from=support@ncsoft.com to=XXX@XXX \
proto=ESMTP helo=ncwedge99.us.ncsoft.com
Dann bohren wir doch mal weiter und schauen uns den MX für ncsoft.com an:
dig ncsoft.com MX
;; ANSWER SECTION:
ncsoft.com.3537INMX30 smtp1.ncsoft.net.
ncsoft.com.3537INMX20 ncwedge01.us.ncsoft.com.
ncsoft.com.3537INMX20 ncwedge02.us.ncsoft.com.
Aha, es gibt also drei MX für ncsoft.com, da kann man nur hoffen das einer davon auf 64.25.41.52 verweist, doch weit gefehlt
smtp1.ncsoft.net.60INA211.189.163.230
ncwedge01.us.ncsoft.com. 3444INA64.25.42.38
ncwedge02.us.ncsoft.com. 3440INA64.25.42.36
Da kann man sich wirklich nur an den Kopf fassen und ich kann nur sagen shame on you NCSoft!
Und so ein Laden nutzt ein komplettes /20 Netz (64.25.32.0/20)... welch eine Verschwendung von IPv4.
April
25
Mittels fail2ban lassen sich (mehr oder weniger) wirksam und automatisiert, unerwünschte Zugriff auf einen Server verhinden und protokollieren.
Um die Daten (z.B. wer hat wann, wie und auf welche Art versucht sich unlauter am System anzumelden) zu visualisieren gibt es verschiedene Ansätze.
Aktuell nutze ich auf div. Systemen eine Mischung aus Logstash, Elasticsearch und Kibana.
Ich gehe davon aus, das bereits eine Umgebung der genannten Komponenten läuft und gehe daher nicht auf die Installation ein.
Die von mir genutzte Konfiguration von fail2ban sieht wie folgt aus
loglevel = 3
logtarget = /var/log/fail2ban.log
socket = /var/run/fail2ban/fail2ban.sock
Wichtig für die weitere Konfiguration ist der Pfad zum Logfile (logtarget), in diesem Beispiel /var/log/fail2ban.log
Die Einträge im Logfile haben folgendes Muster (wobei www.xxx.yyy.zzz die IP darstellt):
2014-04-24 03:43:11,315 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 05:17:38,490 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 10:51:26,914 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 16:20:17,831 fail2ban.actions: WARNING [postfix] Ban www.xxx.yyy.zzz
2014-04-24 18:40:26,777 fail2ban.actions: WARNING [ssh] Ban www.xxx.yyy.zzz
2014-04-24 23:23:48,630 fail2ban.actions: WARNING [sasl] Unban www.xxx.yyy.zzz
2014-04-25 03:43:11,729 fail2ban.actions: WARNING [ssh] Unban www.xxx.yyy.zzz
Um das Logfile korrekt von Logstash verarbeiten zu lassen, benötigen wir passende Filter:
FAIL2BAN %{GREEDYDATA:timer} fail2ban.actions: %{GREEDYDATA:severity} \
[%{GREEDYDATA:service}\] %{FAIL2BAN_ACTION:action} %{IPV4:remoteaddr}
Nun kann man das Logfile von fail2ban in Logstash einbinden:
input {
file {
path => "/var/log/fail2ban.log"
type => "fail2ban"
tags => "fail2ban,system,security"
}
}
filter {
if [type] == "fail2ban" {
grok {
patterns_dir => ["/opt/logstash/patterns"]
match => ["message", "%{FAIL2BAN}"]
add_tag => [ "fail2ban_action" ]
}
}
if [remoteaddr] {
geoip {
source => "remoteaddr"
target => "geoip"
database => "/opt/logstash/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float" ]
}
}
}
Nach einem restart/reload von Logstash muss man nur warten (was meist nicht sonderlich lange dauert) bis die ersten Zugriffe von fail2ban geloggt wurden.
Anschließend kann man innerhalb von Kibana (über den Tag fail2ban) die anfallenden Daten visualisieren:
Im folgenden Beispiel sind die Aktionen wie folgt eingefärbt:
Ban = grün
Unban = gelb