Archiv 20. November 2014

Donnerstag, 20. November 2014

Schutz vor SSH-Bruteforce-Attacken mit Fail2ban

Seit mehreren Jahren setze ich auf meinem aus dem Internet erreichbaren Linux-Server das Paket Fail2ban ein, um Brute-Force-Attacken auf den SSH-Daemon und passwortgeschützte Apache-Verzeichnisse zu verhindern.

Erst kürzlich habe ich dabei die Option aktiviert, dass mir jeder „banned host“ per E-Mail gemeldet wird:

/etc/fail2ban/jail.conf

...
destemail = name@domain.tld
sendername = Fail2Ban
sender = fail2ban@domain.tld
...
action = %(action_mwl)s
...

Indem man die Action von action_ auf action_mwl ändert, wird das E-Mail bei jeder verhinderten Attacke ausgelöst.

Auswertung

Eine äusserst rasche Auswertung der attackierenden Quell-IPs zeigt, dass China offenbar gross im Geschäft mit automatisierten Attacken gegen SSH ist. Die meisten geblockten Hosts stammen aus folgenden vier Subnetzen:

inetnum:        61.174.48.0 - 61.174.55.255
netname:        CHINANET-ZJ-HU
country:        CN
descr:          CHINANET-ZJ Huzhou node network
descr:          Zhejiang Telecom
admin-c:        CZ4-AP
tech-c:         CH119-AP
mnt-irt:        IRT-CHINANET-ZJ
status:         ALLOCATED NON-PORTABLE
changed:        15325819758@189.cn 20111231
mnt-by:         MAINT-CHINANET-ZJ
mnt-lower:      MAINT-CN-CHINANET-ZJ-HU
source:         APNIC
...
inetnum:        122.225.109.0 - 122.225.109.127
netname:        DINGQI-NETWORK-TECHNOLOGY
country:        CN
descr:          Shaoxing Dingqi Network Technology Co., Ltd.
descr:
admin-c:        JS2095-AP
tech-c:         CH119-AP
mnt-irt:        IRT-CHINANET-ZJ
status:         ASSIGNED NON-PORTABLE
changed:        auto-dbm@dcb.hz.zj.cn 20110707
mnt-by:         MAINT-CN-CHINANET-ZJ-HU
source:         APNIC
...
inetnum:        218.2.0.0 - 218.4.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
mnt-by:         MAINT-CHINANET
mnt-lower:      MAINT-CHINANET-JS
mnt-routes:     maint-chinanet-js
changed:        hostmaster@ns.chinanet.cn.net 20020209
changed:        hostmaster@ns.chinanet.cn.net 20030306
status:         ALLOCATED non-PORTABLE
source:         APNIC
...
inetnum:        222.184.0.0 - 222.191.255.255
netname:        CHINANET-JS
descr:          CHINANET jiangsu province network
descr:          China Telecom
descr:          A12,Xin-Jie-Kou-Wai Street
descr:          Beijing 100088
country:        CN
admin-c:        CH93-AP
tech-c:         CJ186-AP
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-JS
mnt-routes:     MAINT-CHINANET-JS
remarks:        This object can only modify by APNIC hostmaster
remarks:        If you wish to modify this object details please
remarks:        send email to hostmaster@apnic.net with your
remarks:        organisation account name in the subject line.
changed:        hm-changed@apnic.net 20040223
status:         ALLOCATED PORTABLE
source:         APNIC
...

Kann denen mal jemand die Stecker ziehen?

Tags: ,
Labels: IT

Keine Kommentare | neuen Kommentar verfassen

Donnerstag, 20. November 2014

Transakt nach Smartphone-Wechsel neu aktivieren

Update April 2016

Mit dem Kauf eines brandneuen iPhone SE musste ich auf dem Neugerät auch die Transakt-Applikation neu aufsetzen und konfigurieren.

Nachfolgend die (derzeit gültigen) Links auf Web-Seiten, mit welchen man die Applikation neu initialisieren kann. Es ist unerlässlich, den richtigen Kreditkartenherausgeber auszuwählen:

Originalartikel

Vor kurzem habe ich mir ein gebrauchtes iPhone 5S geleistet und das betagte iPhone 4 in den Ruhestand geschickt. Beim Wechsel des Smartphones musste ich unter anderem die PhotoTAN-Applikation von Raiffeisen als auch die Transakt-Applikation von Swisscard AECS AG auf das neue Smartphone bringen.

Während es über die Web-Oberfläche von Raiffeisen Online-Banking äusserst simpel ist, ein neues oder zusätzliches Smartphones für die PhotoTAN-Applikation freizuschalten (vorausgesetzt, man hat den Aktivierungsbrief noch rumliegen), ist es mit Transakt etwas schwieriger.

Erster Anlaufpunkt ist die entsprechende Web-Site von Swisscard AECS AG, dem Kartenunternehmen meiner Hausbank. Eine Google-Suche bringt mich auf folgende Web-Site:

3-D Secure

Beim Klick auf den Button im Abschnitt „Change your profile“, welcher auf die Web-Seite www.swisscard.ch/credit-suisse/en/customer-service/a-to-z/3-d-secure-change-profile/ zeigt, führt ins Leere, d.h. im Fachjargon es wird ein HTTP 404 generiert.

Nun gut … dann verwenden wir stattdessen halt die Web-Site-Suche des Kreditkartenherausgebers und versuchen die nicht (mehr?) korrekt verlinkte Web-Seite an Hand ihres Seitentitels ausfindig zu machen:

Suche nach „change profile“ auf Swisscard.ch

Und tatsächlich: Über folgende Seite kann man sich einloggen und per SMS einen neuen Aktivierungscode für die Transakt 3D-Secure-Anwendung zusenden lassen:

3-D Secure Change Profile

Ursache des Problems (ein Dankeschön-Schöggeli vom Webmaster nehme ich gerne unter meiner Postanschrift entgegen): In der ungültigen URL heisst es swisscard.ch/credit-suisse/en/..., während es in der gültigen URL swisscard.ch/en/credit-suisse/... heisst.

Tags: , , , , , , , , , ,
Labels: Leben

5 Kommentare | neuen Kommentar verfassen