Beiträge von WebTeufel

Zitat von Sumeragi

Offenbar ist auf dem Server die WAF aktiv. Dazu dann die Regeln für pd-admin, was letztlich zu dem Verhalten bzw. der Meldung führte. Eventuell sind die Regeln unter

/usr/local/pd-admin2/httpd-2.4/conf/rules.d/002-pda-protect-customer-login.conf

zu scharf oder ungenau definiert. Vermutlich hilft da erst einmal etwas testen mit geänderten Regeln.

und da sind wir wirder da angekommen wo wir schon mal waren, den in der datei steht man soll da dran nicht rum fummeln:

#
#  Do NOT edit this file. It will be written over
#  the next time httpd_vhosts.pl is invoked.
#
#  Bearbeiten Sie diese Datei NICHT. Sie wird beim
#  kommenden Aufruf von httpd_vhosts.pl neu geschrieben.
#
<Locationmatch "/customer/">
   SecRule user:bf_block "@gt 0" "deny,status:401,log,id:7,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
   SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:8"
   SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:9"
   SecRule ip:bf_counter "@gt 10" "t:none,setvar:user.bf_block=1,expirevar:user.bf_block=300,setvar:ip.bf_counter=0"
</Locationmatch>

daraus resultiert mal wieder die frage, wo soll man den die werte einstellen?

die frage hatte ich schon gestellt und keine antwort darauf bekommen

danke für interessante Antworten

hatte mich angefangen in phyton einzulesen und habe selbst festgestellt das es für meinen "eigentlichen" bedarf phyton nicht so ganz sinnvoll ist

kann ja mal einer der php und phyton kennt was dazu sagen....
ich habe z.b damals meine "private" Seite einfach aus spaß und zu Übungszwecken mit php(damals noch 5) programmiert.
dabei sollte der Aufwand einfache Seiten schnell zu erstellen ohne gleich was groß gewichtiges wie Wordpress oder ähnliches zu installieren und sollte auch für einen möglich sein, der nicht so viel Ahnung von php, html usw, schnell eine Seite zu erstellen. Also habe ich so geschrieben das es aus dem Verzeichniss liest und die gefundenen Dateien in Seite einbindet. Die Dateien hätten html oder auch php Inhalten können. Einige Seiten hatten auch Daten aus Datenbank. Menü Eintrag hat es anhand von Dateinamen generiert und Sortierung auch nach ähnlichem Prinzip. Also musste die Datei nur einen bestimmten Muster aufweisen. Hat funktioniert was ich damit erreichen wollte. Bis ich vor kurzem auf php8 umgestellt habe

frage an der stelle, wäre der Aufwand und Voraussetzungen unter phyton ähnlich dem php?

ich habe auf jeden Fall für mich entschieden das ich phyton lerne und mich ins php wieder einarbeite, so viel hat sich ja da auch nicht verändert

Moin alle zusammen

hier im forum treiben sich mit sicherheit einge, die sich mit python auskennen oder zumindest mehr, als nur lesen, beschäftigt haben

ich habe bisher wenn ich für mich was kleingekeit lösen müsste auf php zurück gegriffen, da es einfacher auf dem Webserver zum laufen gebracht werden konnte und im zusammenspeil mit datenbanken

da ich schon länger nichts mehr gemacht habe und einige meiner "Entwicklungen" nicht ohne weiteres unter z.b php8 läuft, muss ich zwangläuftig mich ins php8 einarbeiten und schauen was,wie, wo sich geändert hat und code anpassen oder sogar neue schreiben

da hat ein bakannter angefangen python zu lernen und ich frage den warum. dabei kam ich an die infos das es auch in der raspberry pi welt nicht unüblich mit python zu programmieren

da ich bei raspberry pi auch hin und wieder was bastele dachte ich mir ob ich php nicht links liegen lassen sollte und gleich auf python umsteigen

ist micropython in der ESP welt auch das gleiche oder ähnliches?

was meint ihr dazu?

habe heute mal wieder die import funktion ausprobiert

beide server hatten die versionen:

- v4.91

- 7-0.397

Error in mkstemp using /opt/pdadmin/etc/ts/meinedbw-XXXXXX: Parent directory (/opt/pdadmin/etc/ts/) does not exist at PERL2EXE_STORAGE/Utilities_f1_48.pm line 118
 at PERL2EXE_STORAGE/File/Temp.pm line 1616
        File::Temp::mkstemp('/opt/pdadmin/etc/ts/meinedbw-XXXXXX') called at PERL2EXE_STORAGE/Utilities_f1_48.pm line 118
        Utilities_f1_48::write_file_atomically('/opt/pdadmin/etc/ts/meinedbw', 1634236303) called at /opt/pdadmin/bin/import-customer line 543
        main::create_ts('meinedbw', 'HASH(0x2e9ca70)') called at /opt/pdadmin/bin/import-customer line 1049
        main::import_customer_data('HASH(0x2eb10d8)', 'HASH(0x2ed6420)', 'ARRAY(0x2eb1588)', 0) called at /opt/pdadmin/bin/import-customer line 1163
        main::main() called at /opt/pdadmin/bin/import-customer line 1196
curl: (23) Failure writing output to destination
(import-customer.sh:112)

so was hatten wir noch nicht

was bedeutet es?

fail2ban arbeitet fleißig und bannt schön alles was ihm nicht passt und wir bekommen mail

was macht ihr damit?

meldet ihr die gebannten IPs auch?
was kann man noch machen?

gut zu wissen

werden wir dann mal bald auf diese weise testen

interessante Einwände

dann wäre es doch gut, generell backup dateien zu verschlüsseln oder mit passwort

oder dann die beiden sachen trennen, also mail getrennt von web-daten und jeweil mit passwort/verschlüsselt

Zitat von Eisenherz

Ich habe es bisher nur bei gleichen Serverversionen gemacht.

und hat es immer ohne probleme funktioniert?

auch ein test-kunde mit allem? mails datenbanken usw

Zitat von tbc233

Wenn Du die Standardsicherung von pd-admin benutzt (Backupziel unter /opt/pdadmin/etc/pdadmin.conf sowie cronjob /opt/pdadmin/bin/backup.pl) wird in deinem Backupziel unter "system" ein backup namens home_popuser.tar.gz erstellt, welches das gesamte popboxen Verzeichnis (also alle Mailboxen) enthält.

ah ja

habe es nicht zum ersten mal gesehen aber wohl aus dem sinn verloren

danke schön

und denn noch, wäre doch interessanter und evtl besser wenn jeder kunde es in seinem eigenem backup haben könnte, oder?

werden mails / popboxen irgendwo gesichert?

kann man das nicht ins backup mit einbeziehen?

im Forum gabs doch Leute die Import erfolgreich hatten?

waren die Systeme, also quelle und ziel, die gleiche Versionen gehabt?

eine frage habe ich noch dazu...

ist A+ auch mit letsencrypt Zertifikaten möglich?

spielt es überhaupt eine rolle von wo Zertifikate kommen?

Zitat von mkpd15

Ist zwar schon ein älterer Thread aber dennoch hier die Info wie ich es erfolgreich konfiguriert habe um A+ Ratings auf https://www.ssllabs.com/ssltest ereicht habe - und damit nur mehr TLS 1.2 und TLS 1.3 unterstütze in den passenden Cipher Suites:

Code

SSLProtocol +TLSv1.2 +TLSv1.3
SSLCipherSuite HIGH:!kRSA:!ADH:!eNULL:!LOW:!EXP:!MD5:!3DES

hast dich wohl von der c't dazu verleiten lassen?

habe den artikel jetzt auch mal gelesen, bleibt nur noch umsetzen

ja danke

die hatten wir ja schon, nur da drin ist ja ein Eintrag der etwas verwirrt

Zitat von WebTeufel

so weit so gut. in dem ordner /usr/local/pd-admin2/httpd-2.4/conf/rules.d/ sind 4 dateien, alle haben aber ein eintrag das man es nicht ändern soll

wo kommen die werte dann her?

ich werde immer noch hin und wieder diesbezüglich ausgesperrt

hat jemand idee wo man es einstellen kann?

damals habe ich gesetet und alle von mir erzeugten filter hatten den selben fehler/ausgang

nach deiner nachricht eben wollte ich mal testen oder besser gesagt gucken wo die unterschiede sind zu "original" filtern und habe das hier gefunden

[INCLUDES]

before = common.conf

das sitzt in der qmail.conf oberhalb der eigentlichen definition

habe meine .conf dann um den abschnitt erweitert, und sieht da, fehler sind weg

# Fail2Ban configuration file
# qmail IMAP from pdAdmin
# to catch invalid SMTP logins

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex =     User [-/\w]+.*(?:[a-z]{2,6}): smtp-auth login failed from <HOST> \(no such user\)
                User [a-zA-Z0-9@._-]+: smtp-auth login failed from <HOST> \(no such user\)
                User [a-zA-Z0-9@._-]+: smtp-auth login failed from <HOST> \(wrong password: \w.+, \w.+\)$
                User [a-zA-Z0-9@._-]+: login failure from <HOST>$


# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

das ist die aktuelle, aber damit bannt der fail2ban aber trotzdem

ich habe jetzt so gemacht:

# Fail2Ban configuration file
# qmail IMAP from pdAdmin
# to catch invalid SMTP logins

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

failregex =     User [-/\w]+.*(?:[a-z]{2,6}): smtp-auth login failed from <HOST> \(no such user\)

und das sind die fehler

Running tests
=============

Use   failregex filter file : pdqmailsmtp, basedir: /etc/fail2ban
Use         log file : /var/log/mail.log
Use         encoding : UTF-8

Traceback (most recent call last):
  File "/usr/bin/fail2ban-regex", line 34, in <module>
    exec_command_line()
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 836, in exec_command_line
    if not fail2banRegex.start(args):
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 776, in start
    self.process(test_lines)
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 584, in process
    line_datetimestripped, ret, is_ignored = self.testRegex(line)
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 456, in testRegex
    found = self._filter.processLine(line, date)
  File "/usr/lib/python3/dist-packages/fail2ban/server/filter.py", line 613, in processLine
    timeMatch = self.dateDetector.matchTime(line)
  File "/usr/lib/python3/dist-packages/fail2ban/server/datedetector.py", line 368, in matchTime
    (line[distance] == self.__lastPos[2] and not self.__lastPos[2].isalnum())
IndexError: string index out of range

ich hatte gestern noch gedacht ob es evtl an der python version liegen kann

nach dem wir in anderem thema uns mit fail2ban etwas für qmail hinzugefügt haben, ist mir aufgefallen das evtl irgendwas mit meinen filtern nicht stimmt den wenn ich fail2ban-regex aufrufe kommt das:

root@xxx:~# fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/pdqmail-smtp.conf 

Running tests
=============

Use   failregex filter file : pdqmail-smtp, basedir: /etc/fail2ban
Use         log file : /var/log/mail.log
Use         encoding : UTF-8

Traceback (most recent call last):
  File "/usr/bin/fail2ban-regex", line 34, in <module>
    exec_command_line()
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 836, in exec_command_line
    if not fail2banRegex.start(args):
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 776, in start
    self.process(test_lines)
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 584, in process
    line_datetimestripped, ret, is_ignored = self.testRegex(line)
  File "/usr/lib/python3/dist-packages/fail2ban/client/fail2banregex.py", line 456, in testRegex
    found = self._filter.processLine(line, date)
  File "/usr/lib/python3/dist-packages/fail2ban/server/filter.py", line 613, in processLine
    timeMatch = self.dateDetector.matchTime(line)
  File "/usr/lib/python3/dist-packages/fail2ban/server/datedetector.py", line 368, in matchTime
    (line[distance] == self.__lastPos[2] and not self.__lastPos[2].isalnum())
IndexError: string index out of range

hat es was mit der verion von fail2ban zu tun und das die filter immer wieder mitgegangen sind von system zu system

meine filter kommen hier aus dem thema, alles was wir so für pd-admin in laufe der zeit hier zusammengestellt/gesammelt haben

danke schön

in der maillog sind die einträge auch vorhanden

EDIT: habe dadurch fehler, denke das es welche sind, in meinen filtern aufgedeckt:

habe in anderem thema zu aufklärung weiter gemacht

übrigens, hinzugefügte zeile ist bei mir in der pdqmail-smtp.conf genauso vorhanden, also stimmt da definitiv was nicht

Frohes neues alle zusammen

ich habe da eine Frage, wie hättet ihr so ein Eintrag in der log gewertet?

Jan  5 06:26:13 nyx qmail-smtpd: qmail-smtpd/VC started
Jan  5 06:26:14 nyx pdadmin[24054]: User rtc: smtp-auth login failed from 103.151.122.30 (no such user)
Jan  5 06:26:19 nyx qmail-msa: 1641360379.578310 chkauth : Mail from 103.151.122.30 rejected, no SMTP-AUTH
Jan  5 06:26:19 nyx qmail-msa: 1641360379.578844 tcpserver: end 24053 status 0
Jan  5 06:26:19 nyx qmail-msa: 1641360379.578861 tcpserver: status: 0/12
Jan  5 06:26:20 nyx qmail-msa: 1641360380.099773 tcpserver: status: 1/12
Jan  5 06:26:20 nyx qmail-msa: 1641360380.100509 tcpserver: pid 24056 from 103.151.122.30
Jan  5 06:26:20 nyx qmail-msa: 1641360380.100600 tcpserver: ok 24056 xxx xxx

von denen habe ich einige und ich glaube es wird auch von fail2ban nicht als angriff erkannt

soll ich da irgendwie drauf reagieren?