Firewall Regeln zurückgesetzt weil vom Server ausgesperrt [GELÖST]

[Kabna]

Hey, (keyhelp auf eigenem Linuxserver)
ich wollte grade bei Keyhelp die Firewall Einstellungen speichern. Auch nach login das selbe.
Folgender roter Kommentar:
Ihre Firewall-Regeln wurden zurückgesetzt, weil Sie sich vom Server ausgesperrt haben. Bitte überprüfen Sie Ihre aktuellen Firewall-Einstellungen.

Wie löse ich es denn wieder? Muss ein paar ips sperren. Habe ich vielleicht dabei was anderes gesperrt?

VIelen Dank im Voraus

[Alexander]

Hallo,

Wie in der Meldung steht:

Es wird überprüft, ob du dich mit den derzeitigen Firewall-Regeln vom Server aussperren würdest, was demnach mit deinen derzeit eingestellten Regeln der Fall wäre.

Näheres kann man nur sagen, wenn man deine private IP sowie deine eingestellten Regeln kennt.

[Kabna]

Wie in der Meldung steht:

Es wird überprüft, ob du dich mit den derzeitigen Firewall-Regeln vom Server aussperren würdest, was demnach mit deinen derzeit eingestellten Regeln der Fall wäre.

Ne da steht das ich ausgesperrt wurde. Ich habe mich steht da. WO das mit dem prüfen steht ist beim speichern, hier:
Allerdings steht da das alles okay ist. speichert aber trotzdem nicht. ALso setzt trotzdem zurück. Meine aktuelle ip ist dort auf jeden fall nicht dabei. Dann wäre das gestern schon gewesen und heute nur zwei hinzufügen wollen, die definitiv nicht meiner ip entsprechen. Und habe mit strg plus f geprüft ob meine ip dort eingetragen wurde. Aber nein.

kglw.png (11.66 KiB) Viewed 18946 times

[Jolinar]

So wird das nur wildes Herumraten...Also mehr Input bitte!

Welche Firewallregeln sind aktuell gesetzt?
Welche Regeln willst du setzen, wo dann die Fehlermeldung kommt?

BTW:
Genau dafür ist die Beitragsvorlage gedacht, die du beim Erstellen des Threads einfach ignoriert hast...Jetzt müssen wir mühsam jede Info erfragen

[Alexander]

Dann ist die Meldung, die du eingangs bekommen hast im Hintergrund erschienen, als das letzte mal ein Aussperren festgestellt wurde.
Diese im Hintergrund erschienene Meldung kannst du oben rechts über das X wegklicken, es ist in dem Fall lediglich ein Hinweis, das die Regeln zurückgesetzt wurden, weil irgendwie muss dir das KeyHelp ja mitteilen. Sie wird solange angezeigt, bis sie weggeklickt wird.

BTW
Genau dafür ist die Beitragsvorlage gedacht, die du beim Erstellen des Threads einfach ignoriert hast...Jetzt müssen wir mühsam jede Info erfragen

Stimmt, da hab ich jetzt gar nicht drauf geachtet. Verdammt, ich wollte doch nicht mehr auf Leute antworten, die die Vorlage nicht nutzen, OBWOHL ES EXPLIZIT DA STEHT... Beim nächsten Mal dann....

[Kabna]

SIEHE NÄCHSTEN BEITRAG

[Kabna]

Tut mir leid. Die habe ich nicht ignoriert. Ich hatte einfach nichts verändert gehabt was darauf hindeutet das es etwas komplexeres sein könnte. Ich werde das nächste mal wieder die serverdaten dazuschreiben
Serverzeit 10:11:48 - 06. Mai 2022 (Europe/Berlin)
Betriebszeit

83 Tage 18 Stunden 37 Minuten

Hostname der hostname...
IP-Adressen
meine ipadresse...
SSH-Fingerprint
Ed25519 ECDSA RSA
CPU
Intel(R) Xeon(R) Gold 6140 CPU @ 2.30GHz (amd64) Kerne: 2
CPU-Auslastung 25,00 % (
0,50 0,66 0,42
)
System-Virtualisierung KVM
Prozessanzahl
118 Verwalten
E-Mails in Warteschlange
0 Verwalten
Speicherplatz
Frei: 105.60 GB Belegt: 189.82 GB Gesamt: 311.25 GB
64,25 %
64,25 %
Arbeitsspeicher
Frei: 5.66 GB Belegt: 2.13 GB Gesamt: 7.79 GB
27,35 %
27,35 %
Swap-Speicher
Frei: 1.97 GB Belegt: 1.75 GB Gesamt: 3.73 GB
Serverdaten:
Betriebssystem Debian 10.12 (64-bit)
KeyHelp

22.0 (Build 2393) Änderungsprotokoll

Kernel 4.19.0-9-amd64
Webserver Apache 2.4.38
DNS-Server BIND 9.11.5
PHP PHP 7.3.31
Datenbank-Server MariaDB 10.3.34
FTP-Server ProFTPD 1.3.6
Mail Transfer Agent Postfix 3.4.14
Mail Delivery Agent Dovecot 2.3.4.1
MTA-Inhaltsfilter Amavisd-new 2.11.0
Spamfilter SpamAssassin 3.4.2
Virenscanner ClamAV 0.103.5
Datenbank-Administration phpMyAdmin 5.1.3
Webmail Roundcube 1.5.2
Kryptographie OpenSSL 1.1.1n
Datenübertragung curl 7.64.0
Backup-Software Restic 0.12.1
Backup-Datenübertragung Rclone 1.58.0



letzter Logeintrag im php errorlog:
[01-Apr-2022 15:19:49 Europe/Berlin] PHP Warning: session_destroy(): Trying to destroy uninitialized session in /home/keyhelp/www/keyhelp/misc/pma_sso.php on line 81

Dann ist die Meldung, die du eingangs bekommen hast im Hintergrund erschienen, als das letzte mal ein Aussperren festgestellt wurde.
Diese im Hintergrund erschienene Meldung kannst du oben rechts über das X wegklicken, es ist in dem Fall lediglich ein Hinweis, das die Regeln zurückgesetzt wurden, weil irgendwie muss dir das KeyHelp ja mitteilen. Sie wird solange angezeigt, bis sie weggeklickt wird.

BTW
Genau dafür ist die Beitragsvorlage gedacht, die du beim Erstellen des Threads einfach ignoriert hast...Jetzt müssen wir mühsam jede Info erfragen

Stimmt, da hab ich jetzt gar nicht drauf geachtet. Verdammt, ich wollte doch nicht mehr auf Leute antworten, die die Vorlage nicht nutzen, OBWOHL ES EXPLIZIT DA STEHT... Beim nächsten Mal dann....

Wow. ja wegklicken, war mir nicht klar. Und das die Ausperrrenmeldung sicherlich immer dort steht, aber achte ich nicht drauf wenns halt alles klappt...

OKay, dann ist das Problem etwas anderes. DIe Lösung für das was ich dachte ist ganz simpel:
Die ip war dort schon eingetragen. Aber darauf bin ich nicht gekommen weil ich sicher war das die geblockt wurden vorher. Aber scheint nicht so zu sein. Und dann ist mir halt noch zum ersten Mal die rote Fehlermeldung oder Information aufgefallen. Da habe ich 1 und 1 zusammengezählt. War trotzdem falsch .
Was mich aber zum nächsten Problem bringt. Wie kann eine Ip auf meine Seiten zugreifen die ich geblockt habe. Wie sicher ist es die udp und tcp ports hier öffentlich zu schreiben?? Weil ich muss die sicherlich mitteilen da mit ihr mir sagen könnt was daran falsch ist. Ich wollte die explizit Serverweitwegblocken, aber das scheint nicht geklappt zu haben. Das sind so bots die versuchen herauszufinden was für Nutzernamen existieren um sich womöglich dann mit Passwortsuche einloggen und Datenstehlen zu können, denke ich.

--- Was habe ich für eine REgel ergänzen wollen mit weiterer ips ---
Eingehender traffic
Verweigern
4x TCP Port 1x UDP Port
Quellen(ipadressen) So um die 30

Ps. Oder soll ich den Topic shcließen und das neue Problem in anderem FOrumspart posten?

kglw3.png (5.88 KiB) Viewed 18911 times

[Jolinar]

Das sind so bots die versuchen herauszufinden was für Nutzernamen existieren um sich womöglich dann mit Passwortsuche einloggen und Datenstehlen zu können, denke ich.

Da liegst du mit deiner Vermutung schon ziemlich richtig.

Was ich mich allerdings frage...warum blockst du die IPs manuell und nutzt nicht fail2ban?

Rein aus Neugier:
Um wieviele unauthorisierte Zugriffsversuche handelt es nach deiner Schätzung pro Zeiteinheit (also xxx Versuche pro Stunde oder pro Tag)?
Ich frage deshalb, weil ich den Verdacht habe, daß du dich da mit ganz normalem "Grundrauschen" rumplagst...

[Kabna]

Da liegst du mit deiner Vermutung schon ziemlich richtig.

Was ich mich allerdings frage...warum blockst du die IPs manuell und nutzt nicht fail2ban?

Kein failban, weil bis auf wenige Ausnahmen in den meisten fällen entweder die ips jedes mal durchwechseln oder wie vor ein paar Wochen als es begann, es immer alle 2h ca. versucht wurde, tags wie nachts.

Rein aus Neugier:
Um wieviele unauthorisierte Zugriffsversuche handelt es nach deiner Schätzung pro Zeiteinheit (also xxx Versuche pro Stunde oder pro Tag)?
Ich frage deshalb, weil ich den Verdacht habe, daß du dich da mit ganz normalem "Grundrauschen" rumplagst..

Immer gerne fragen und nachhorchen. Bin über jeden Wink, Information irgendeiner Art durch eine Frage zum Beispiel oder Hilfe oder Tipp dankbar

AM Anfang alle 2h tags wie nachts
- und dann auch wieder ein paar Tage oder eine Woche Pause. (mit wiederholung der gleichen ip, weswegen ich ja dachte als es dann immer wechselnde waren das das blocken geklappt hat)
- zwischenzeitlich waren es mit wechselnden ips, minütliche einloggversuche über mehere Stunden. Die allerdings alle recht schnell weggeblockt hatte dachte ich ^^.
- Danach war wieder Ruhe und heute morgen/nacht waren es 2 an der Zahl und dann wieder Ruhe bis jetzt.
Also sehr sehr unterschiedlich

Hatte wegen der Pause und der nicht wiederholung der ips geadcht das das blocken geklappt hat.

Mir hatte auch einer der selber Webseites und Server betreibt gesagt das die ip die ich ihm am Anfang für den loginversuch nannte eine russische wäre und er sie auch schon geblockt habe bei verschiedenen Kunden

Was ist denn Grundrauschen? . Meine pc boxen haben grundrauschen aber du meinst natürlich was anderes hehe.

[Jolinar]

Was ist denn Grundrauschen? . Meine pc boxen haben grundrauschen aber du meinst natürlich was anderes hehe.

Naja, ganz so falsch ist dein Vergleich garnicht.
Server, die am Netz hängen, bekommen eigentlich mehr oder weniger permanent Anfragen von außen mit dem Ziel, offene Sicherheitslücken zu finden. Diese Anfragen sind im Prinzip wie das Grundrauschen deiner Boxen...permanent vorhanden und mit normalen Mitteln nicht wegzubekommen.

So, wie du deine Situation beschreibst, ist hier tatsächlich von normalem Grundrauschen auszugehen. Solange die von dir eingesetzte Software keine gravierenden Sicherheitslücken aufweist, ist alles im grünen Bereich.
Ich hab für mich persönlich die Faustregel aufgestellt, daß alles, was unter 1000 illegitimen Zugriffsversuchen pro Stunde liegt, als Grundrauschen angesehen wird.
Da solche geringe Mengen von jedem noch so kleinen Webserver gestemmt werden können, ohne daß die Last auf der Maschine auch nur spürbar nach oben geht, ignoriere ich die in aller Regel.

[Kabna]

Naja, ganz so falsch ist dein Vergleich garnicht.
Server, die am Netz hängen, bekommen eigentlich mehr oder weniger permanent Anfragen von außen mit dem Ziel, offene Sicherheitslücken zu finden. Diese Anfragen sind im Prinzip wie das Grundrauschen deiner Boxen...permanent vorhanden und mit normalen Mitteln nicht wegzubekommen.

So, wie du deine Situation beschreibst, ist hier tatsächlich von normalem Grundrauschen auszugehen. Solange die von dir eingesetzte Software keine gravierenden Sicherheitslücken aufweist, ist alles im grünen Bereich.
Ich hab für mich persönlich die Faustregel aufgestellt, daß alles, was unter 1000 illegitimen Zugriffsversuchen pro Stunde liegt, als Grundrauschen angesehen wird.
Da solche geringe Mengen von jedem noch so kleinen Webserver gestemmt werden können, ohne daß die Last auf der Maschine auch nur spürbar nach oben geht, ignoriere ich die in aller Regel.

Okay von 1000 wäre ich ja noch ziemlich entfernt. Ich gebe denen auf jeden Fall bei meinen eigens angelegten Nutzern nicht die Möglichkeit das die Nutzernamen rausfinden. Habe echt Schiss davor das son DIng mal nen Namen rausfindet und dann das pw noch...

Mir geht es nicht so um die Überlastung, da wird dein Messwert mit 100 vermutlich schon von meinen Servern ohne Probleme stemmbar sein, aber das die in mein system hacken wollen. Nur mal hypotetisch. Es regestreirt sich ein Nutzer mit normalem Username wie: Kevin, Phil, Thomas oder soetwas. Die sind ja durch diese Bots recht simpel rauszufinden. Und im Grunde kann man wenn man will zumindest auf Zeit einfachere passwörter rausfinden können. Dahingehend wäre zumindest fail2ban sowieso eine Idee. Echt meine größte Angst das was gehackt wird

[Jolinar]

Ich gebe denen auf jeden Fall bei meinen eigens angelegten Nutzern nicht die Möglichkeit das die Nutzernamen rausfinden. Habe echt Schiss davor das son DIng mal nen Namen rausfindet und dann das pw noch...

Dafür gibt es mehrere Ansätze, u.a. das Hochsetzen der Paßwortkomplexität oder 2FA, um nur mal zwei zu nennen...

[Kabna]

Dafür gibt es mehrere Ansätze, u.a. das Hochsetzen der Paßwortkomplexität oder 2FA, um nur mal zwei zu nennen...

Ja Passwörter sind mit mindestens diese und jene Zeichen, Zahl, großschreibung etc als Voraussetzung beim registrieren
Ja die 2faktor authent ist aber meistens freiwillig, und wenn nicht wäre das echt nicht schön für die Nutzer. Manche Seiten meine ich sagen auch an das Kevin oder Johan nicht geht sondern Nutzernamen immer plus eine Zahl sein müssen oder so. Aber das find ich auch nicht schön

[Jolinar]

Vielleicht noch ein paar ergänzende Anmerkungen zu deinen Befürchtungen, gehackt zu werden und zu verschiedenen Angriffsvektoren...

Man muß erstmal zwei grundlegende Angriffsarten unterscheiden, Angriffe mit einem ganz bestimmten Ziel (also wenn es jemand explizit auf deinen Server abgesehen hat, weil er dich nicht mag, dir dein Geschäft kaputtmachen will oder ähnliche persönliche Gründe) und Angriffe ohne festes Ziel (das, was du normalerweise als "Grundrauschen" wahrnimmst.

Wenn der Angriff zielgerichtet ist, also wenn du das auserkorene potentielle Opfer bist, dann helfen Standardschutzmaßnahmen nur bedingt. Wer auf deine Kiste draufkommen will und das nötige Know How dafür hat, der wird auch eine Lücke finden, um drauf zu kommen. Auch die ganzen Angriffe, die das Ziel haben, den Server auszubremsen bzw. komplett in die Knie zu wingen (DOS, DDOS, Slowloris, etc.), fallen in diese Kategorie.
Wenn du also, aus welchen Gründen auch immer, den Zorn von jemandem auf dich gezogen hast, der dann solche Angriffe gegen dich fährt, dann hast du meist ganz andere Probleme als nicht geblockte IPs oder zu einfache Paßwörter.

Nicht zielgerichtete Angriffe funktionieren auf anderen Ebenen als ein bewußter Einbruchsversuch...da werden Standardlogins (wie zB. admin mit PW 1234 o.ä.) stumpf durchprobiert, um irgendwie höhere Rechte auf deinem Server zu erlangen oder es werden entsprechend manipulierte Datenpakete an verschiedene auf deinem Server laufenden Dienste geschickt, um so eine Fehlfunktion in dem entsprechenden Dienst zu provozieren und dadurch eine mögliche Hintertür zu öffnen.
Solange du aktuelle Software nutzt, wird ein Angriff aus dem Grundrauschen heraus im Prinzip immer ins Leere laufen, weshalb man sich wegen dem Grundrauschen keine Sorgen machen braucht.

Hinweis:
Das eben Geschriebene ist nur eine sehr vereinfachte Darstellung der Thematik. Die Profis unter euch mögen mir verzeihen, daß ich das Thema nur in Grundzügen und (hoffentlich) einigermaßen verständlich dargelegt habe.

[Kabna]

@Jolinar Danke, die Erläuterungen waren sehr verständlich
Ich habe jetzt ein wenig weniger Schiss wegen der ganzen Sache! Wenn auch nicht keinen mehr da jemand anders ja die immer blockt irgendwie

Habe zum Glück bisher noch niemandens Zorn auf mich gezogen. Bin gazn friedlich .

Wegen aktueller Software. Bald muss ich ja das Debian upgrade machen sagt das keyhelp backend. Das hat bisher immer gut geklappt selbst wenn ich mal nen ja statt nein gesetzt hatte aber davor habe ich echt Respekt immer und hoffe das es auch diesmal mit der Anleitung von Keyweb zusammen gut geht hehe

Ps. Wusste gar nicht das es Keyhelp Community Moderatoren gibt. Irre ^^. Bräuchte auch mal wen der einfach aus reiner Freude hilft

Keyweb/Keyhelp ist aber auch einfach der Hammer!