net(t)forum
net(t)work(s) - fli4l - eisfair

Startseite » eisfair » spline.eisfair » BFB - Accesslistscan
BFB - Accesslistscan [Beitrag #81499] Tue, 15 September 2020 11:25 Zum nächsten Beitrag gehen
Dirk Alberti ist gerade offline  Dirk Alberti
Beiträge: 1162
Registriert: July 2010
Senior Member
Hallo zusammen,


mich hat beim mobilen Zugriff übers Laptop von außen auf meinen Apachen
der BFB nun schon ein paarmal rausgeschmissen mit der Begründung
"Accesslistscan".  Mein Laptop hat ständige Verbindung auf Nextcloud
meines Servers, darüber geht Ordnersync und cardav/caldav. Nur woher
kommen diese Accesslistscans?  Ist da in BFB irgendwas "zu scharf"
eingestellt?
Zwischendurch gehts dann aber auch wieder stundenlang, ohne dass er mich
blockiert.

Gruß, Dirk
Re: BFB - Accesslistscan [Beitrag #81501 ist eine Antwort auf Beitrag #81499] Tue, 15 September 2020 14:03 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Dirk Alberti ist gerade offline  Dirk Alberti
Beiträge: 1162
Registriert: July 2010
Senior Member
Am 15.09.20 um 11:25 schrieb Dirk Alberti:
> Hallo zusammen,
>
>
> mich hat beim mobilen Zugriff übers Laptop von außen auf meinen
> Apachen der BFB nun schon ein paarmal rausgeschmissen mit der
> Begründung "Accesslistscan".  Mein Laptop hat ständige Verbindung auf
> Nextcloud meines Servers, darüber geht Ordnersync und cardav/caldav.
> Nur woher kommen diese Accesslistscans?  Ist da in BFB irgendwas "zu
> scharf" eingestellt?
> Zwischendurch gehts dann aber auch wieder stundenlang, ohne dass er
> mich blockiert.
>
> Gruß, Dirk
>

Ergänzung: BFB-Version ist die 1.0.18.
Meines Erachtens nach habe ich dieses Verhalten erst seit dem Updache
rausate auf diese Version.
Es schmeißt mich schon beim normalen Zugriff von außerhalb auf meinen
Apache raus.


Dirk
Re: BFB - Accesslistscan [Beitrag #81502 ist eine Antwort auf Beitrag #81501] Tue, 15 September 2020 21:45 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Olaf Jaehrling ist gerade offline  Olaf Jaehrling
Beiträge: 1772
Registriert: July 2010
Senior Member

Hallo Dirk,

Dirk Alberti schrieb am 15.09.20 um 14:03:
> Am 15.09.20 um 11:25 schrieb Dirk Alberti:
>> Hallo zusammen,
>>
>>
>> mich hat beim mobilen Zugriff übers Laptop von außen auf meinen
>> Apachen der BFB nun schon ein paarmal rausgeschmissen mit der
>> Begründung "Accesslistscan".  Mein Laptop hat ständige Verbindung auf
>> Nextcloud meines Servers, darüber geht Ordnersync und cardav/caldav.
>> Nur woher kommen diese Accesslistscans?  Ist da in BFB irgendwas "zu
>> scharf" eingestellt?
>> Zwischendurch gehts dann aber auch wieder stundenlang, ohne dass er
>> mich blockiert.

Was steht denn in
/var/log/brute_force_blocking/brute_force_blocking_debug.log
access_log
access_log.ssl
error_log
error:log.ssl


>>
>> Gruß, Dirk
>>
>
> Ergänzung: BFB-Version ist die 1.0.18.
> Meines Erachtens nach habe ich dieses Verhalten erst seit dem Updache
> rausate auf diese Version.

Da das kann schon sein, da in der vorherigen Version ein Fehler war, der
unter bestimmten Voraussetzungen eine Attacke nicht erkannt hat (404 im
eccesslog)

Es könnte also durchaus sein, dass beim Zugriff auf den Nextcloudordner
eine Datei gesucht wird, welche nicht da ist. Das sollte aber in den
Logfiles zu sehen sein.

Gruß

Olaf

> Es schmeißt mich schon beim normalen Zugriff von außerhalb auf meinen
> Apache raus.
>
>
> Dirk
>
>

--
Paketserver: https://ojaehrling.de/eis/index.txt
Re: BFB - Accesslistscan [Beitrag #81506 ist eine Antwort auf Beitrag #81502] Fri, 18 September 2020 19:03 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Dirk Alberti ist gerade offline  Dirk Alberti
Beiträge: 1162
Registriert: July 2010
Senior Member
Hallo Olaf,

ich hab mal bissl recherchiert... ;-)

Am 15.09.20 um 21:45 schrieb Olaf Jaehrling:
> Hallo Dirk,
>
> Dirk Alberti schrieb am 15.09.20 um 14:03:
>> Am 15.09.20 um 11:25 schrieb Dirk Alberti:
>>> Hallo zusammen,
>>>
>>>
>>> mich hat beim mobilen Zugriff übers Laptop von außen auf meinen
>>> Apachen der BFB nun schon ein paarmal rausgeschmissen mit der
>>> Begründung "Accesslistscan".  Mein Laptop hat ständige Verbindung auf
>>> Nextcloud meines Servers, darüber geht Ordnersync und cardav/caldav.
>>> Nur woher kommen diese Accesslistscans?  Ist da in BFB irgendwas "zu
>>> scharf" eingestellt?
>>> Zwischendurch gehts dann aber auch wieder stundenlang, ohne dass er
>>> mich blockiert.
> Was steht denn in
> /var/log/brute_force_blocking/brute_force_blocking_debug.log
> access_log
> access_log.ssl
> error_log
> error:log.ssl
>
>
>>> Gruß, Dirk
>>>
>> Ergänzung: BFB-Version ist die 1.0.18.
>> Meines Erachtens nach habe ich dieses Verhalten erst seit dem Updache
>> rausate auf diese Version.
> Da das kann schon sein, da in der vorherigen Version ein Fehler war, der
> unter bestimmten Voraussetzungen eine Attacke nicht erkannt hat (404 im
> eccesslog)
>
> Es könnte also durchaus sein, dass beim Zugriff auf den Nextcloudordner
> eine Datei gesucht wird, welche nicht da ist. Das sollte aber in den
> Logfiles zu sehen sein.


....und jetzt den Übeltäter identifiziert:  Es ist das Thunderbird-Addon
"TBSync", welches die Kontakte, Adressbücher und Aufgaben von
Thunderbird per DAV mit Next-/Owncloud synchronisiert.
Das sucht auf der *-cloud nach
"/owncloud/remote.php/dav/addressbooks/groups/user/"   und
"/owncloud/remote.php/dav/addressbooks/groups/admin" , was es da aber
nicht gibt.

192.168.1.19 - - [18/Sep/2020:18:24:09 +0200] "PROPFIND
/owncloud/remote.php/dav/addressbooks/groups/admin/ HTTP/1.1" 404 188
"-" "Thunderbird CalDAV/CardDAV" 933 1040

192.168.1.19 - - [18/Sep/2020:18:24:10 +0200] "PROPFIND
/owncloud/remote.php/dav/addressbooks/groups/user/ HTTP/1.1" 404 188 "-"
"Thunderbird CalDAV/CardDAV" 932 1040

Im Log von TBSync steht unter der Überschrift "Ignorierter Fehler (404)"
unter anderem:

Response:
<?xml version="1.0" encoding="utf-8"?>
<d:error xmlns:d="DAV:" xmlns:s="http://sabredav.org/ns">
<s:exception>Sabre\DAV\Exception\NotFound</s:exception>
  <s:message>File not found: groups in 'addressbooks'</s:message>
</d:error>


Nach einigem Suchen fand ich auch was dazu im Github von TBSync, was
sinngemäß besagt, dass man das einfach ignorieren soll. Die
Synchronisierung funktioniert ja trotzdem.

Also werde ich wohl damit erstmal leben müssen.  Mal sehen, ob ich was
anderes für die Synchronisation finde.

> Gruß
>
> Olaf


Gruß, Dirk
Re: BFB - Accesslistscan [Beitrag #81507 ist eine Antwort auf Beitrag #81506] Fri, 18 September 2020 20:24 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Dirk Alberti ist gerade offline  Dirk Alberti
Beiträge: 1162
Registriert: July 2010
Senior Member
Lösung für mich gefunden, nur der Vollständigkeit halber:

Am 18.09.20 um 19:03 schrieb Dirk Alberti:
>
>
> Nach einigem Suchen fand ich auch was dazu im Github von TBSync, was
> sinngemäß besagt, dass man das einfach ignorieren soll. Die
> Synchronisierung funktioniert ja trotzdem.
>
> Also werde ich wohl damit erstmal leben müssen.  Mal sehen, ob ich was
> anderes für die Synchronisation finde.
>

Ich verwende zur Synchronisation der Thunderbird-Kontakte das TB-Addon
"Cardbook" und "TBSync" nur noch für den Kalender.


Dirk
Re: BFB - Accesslistscan [Beitrag #81508 ist eine Antwort auf Beitrag #81507] Fri, 18 September 2020 22:55 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Olaf Jaehrling ist gerade offline  Olaf Jaehrling
Beiträge: 1772
Registriert: July 2010
Senior Member

Hallo Dirk,

Dirk Alberti schrieb am 18.09.20 um 20:24:
> Lösung für mich gefunden, nur der Vollständigkeit halber:
>
> Am 18.09.20 um 19:03 schrieb Dirk Alberti:
>>
>>
>> Nach einigem Suchen fand ich auch was dazu im Github von TBSync, was
>> sinngemäß besagt, dass man das einfach ignorieren soll. Die
>> Synchronisierung funktioniert ja trotzdem.
>>
>> Also werde ich wohl damit erstmal leben müssen.  Mal sehen, ob ich was
>> anderes für die Synchronisation finde.
>>
>
> Ich verwende zur Synchronisation der Thunderbird-Kontakte das TB-Addon
> "Cardbook" und "TBSync" nur noch für den Kalender.

Warum? Cardbook für Kontakte und Thunderbird hat lightning von Haus aus
dabei. Damit funktioniert bei mir seit Ewigkeiten der Sync zwischen
Next/OwnCloud und Thunderbird.

TBSync kannst du also normalerweise runterschmeißen.

Gruß

Olaf

>
>
> Dirk

--
Paketserver: https://ojaehrling.de/eis/index.txt
Re: BFB - Accesslistscan [Beitrag #81509 ist eine Antwort auf Beitrag #81506] Fri, 18 September 2020 22:59 Zum vorherigen Beitrag gehen
Olaf Jaehrling ist gerade offline  Olaf Jaehrling
Beiträge: 1772
Registriert: July 2010
Senior Member

Hallo Dirk,

Dirk Alberti schrieb am 18.09.20 um 19:03:
> Hallo Olaf,
>
> ich hab mal bissl recherchiert... ;-)

schön.


> ...und jetzt den Übeltäter identifiziert: 

noch schöner.

Es ist das Thunderbird-Addon
> "TBSync", welches die Kontakte, Adressbücher und Aufgaben von
> Thunderbird per DAV mit Next-/Owncloud synchronisiert.
> Das sucht auf der *-cloud nach
> "/owncloud/remote.php/dav/addressbooks/groups/user/"   und
> "/owncloud/remote.php/dav/addressbooks/groups/admin" , was es da aber
> nicht gibt.
>
> 192.168.1.19 - - [18/Sep/2020:18:24:09 +0200] "PROPFIND
> /owncloud/remote.php/dav/addressbooks/groups/admin/ HTTP/1.1" 404 188
> "-" "Thunderbird CalDAV/CardDAV" 933 1040

Jupp, das ist der Übeltäter.

>
> 192.168.1.19 - - [18/Sep/2020:18:24:10 +0200] "PROPFIND
> /owncloud/remote.php/dav/addressbooks/groups/user/ HTTP/1.1" 404 188 "-"
> "Thunderbird CalDAV/CardDAV" 932 1040
>
> Im Log von TBSync steht unter der Überschrift "Ignorierter Fehler (404)"
> unter anderem:
>
> Response:
> <?xml version="1.0" encoding="utf-8"?>
> <d:error xmlns:d="DAV:" xmlns:s="http://sabredav.org/ns">
> <s:exception>Sabre\DAV\Exception\NotFound</s:exception>
>   <s:message>File not found: groups in 'addressbooks'</s:message>
> </d:error>
>
>
> Nach einigem Suchen fand ich auch was dazu im Github von TBSync, was
> sinngemäß besagt, dass man das einfach ignorieren soll. Die
> Synchronisierung funktioniert ja trotzdem.

Ja, es sei denn man wird geblockt :) :)
>
> Also werde ich wohl damit erstmal leben müssen.  Mal sehen, ob ich was
> anderes für die Synchronisation finde.

Nein, siehe anderen Post :)

Notfalls kannst du mit
touch /owncloud/remote.php/dav/addressbooks/gro... die angemeckerten,
fehlenden Dateien einfach blind erstellen und so dem Block umgehen.
Ich persönlich würde aber auf die Thunderbird Hausmittel zurückgreifen.

Danke und Gruß

Olaf


Gruß

Olaf

>
>> Gruß
>>
>> Olaf
>
>
> Gruß, Dirk
>

--
Paketserver: https://ojaehrling.de/eis/index.txt
Vorheriges Thema: Packeis Benachrichtigungen
Gehe zum Forum:
  


aktuelle Zeit: Sat Sep 19 04:42:50 CEST 2020

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.04135 Sekunden