debian CCcam: illegal user

[Black_Angel]

salutare la toata lumea -

in primul rind

Am o problema care nu o pot duce la capat
Este vorba de debian5
mie tot imi face Camul restart- nu merge 3 zile , hopa restart
daca ar fi numai asta ar fi bine - dar este ca imi face citeoadata si de citeva ori pe zi treaba asta
Si m-am pus sa urmaresc un pic care este treaba
Am ajuns la concluzia ca mie imi crapa Camul din cauza atacurilor astea ilegale - cum scrie logul
Adica ce se intimpla ?

Ok- mai este ca unul sau altul este off - dar la mine este ca sunt c-am toata ziua off si EU atunci fiind Peerul off ca Client si ca Server - mie imi face cereri totusi
am de genul acesta

Sep 19 06:25:16 debian CCcam: login from 79.xxx.5.yy
Sep 19 06:25:16 debian CCcam: illegal user blabla from 79.xxx.5.yy
Sep 19 06:25:16 debian CCcam: kick 79.xxx.5.yy, signature failed

Daca ar fi numai una cerere sau hai sa fie 10 cereri - DAR sunt din minut in minut sau la altii din 10 in 10 secunde .
Si asta ore in sir - 24 de ore de ex.

Si va dati seama ce face Camul meu atunci

Cum ati putea sa imi explicati mie treaba asta ce se intimpla ???

Sau ce ar fi de facut sa ma scap de atacurile astea
( fara sa le sterg - ca le am totusi atunci- ca Colegul nu ma sterge )

M-am gindit sa instal fail2ban
Dar treaba este ca NU am curajul sa il instal ptr. ca nu stiu exact cum- si de este gresit instal- nu mai merge nimic

Asi ruga sa imi dati idei cum asi putea rezolva problema

[Diablo1]

Sal

Normal daca ai un user ofline nar trebui sa ai asa ilegal user
Tu ai protectatä linia cu Dyndns
Ia scoate tu la useri care iti fac ilegal user si verifica sa vezi
Eu cred ca userul tau o fi ofline dar linia este accesata de pe un alt Ip sau
Userul l-ai pus pe pauza taiat , si atunci iti da ilegal user iti acceseaza regulat
pune 0 0 0 { 0:0:0 } si fara dyndns
Mai poate sa aiba linia ta pusa in mai multe recuri si atunci la fel iti da , am avut si eu asa ceva , un descreierat care mia bagat linia in 4 recuri si imi aparea tot la fel 3 ilegale user , mai tre sa am logurile pe undeva

[zappa]

Banuiesc ca ai un router cu openwrt sau dd-wrt. Poti bloca ip-urile care te deranjeaza direct din router.

[Black_Angel]

zappa asi bloca eu IP din Router - dar Nu gasesc unde
am un AVM - Fritz Box 7170

@Diablo1

0 0 0 { 0:0:0 } si fara dyndns

am sa testez si asta
si nu am pus pe pauza - l-am lasat normal - nu sunt de ala care taie si spinzura imediat

---------- Post added at 10:36 ---------- Previous post was at 09:48 ----------

@Diablo1

sa imi trag una - ai zmintit-o
am luat restrictia din capatul liniei F - si ce crezi ca imi apare ??
Client- Violet- adica alta Boxa - si Dyndns off
Siiiii- atacurile sau terminat
Dar - acuma o intrebare stupida- la toti care apar off si imi fac atacuri sa le iau restrictia
In momentul de fatza am 2 de astia -
Sau sa le blochez cu 0 0 0 0 0 0 ??-
Ei au vrut sa ma traga in zeapa - dar cu chestia asta cred ca sau zepat insusi

[zmeura]

Nu trage concluzii pripite,ia legatura cu acei peers,daca ei spun ca au linia intr-un singur aparat schimbati iar liniile.Discuta cu ei si vezi exact ce se intampla.

[zmeura]

Daca linia ta F e securizata la sfarsit cu adresa lui dns si peer-ul nu a facut update (din greseala) poate apare aceasta situatie.Deci trebuie discutat cu el,nu are rost sa blochezi ip-uri fara rost.
In schimb daca userul illegal a fost sters,dar el inca mai are linia C atunci intradevar se poate bloca ip-ul.Daca are ip dinamic e vanatoare de vrajitoare,poate doar cu script care sa baneze automat illegal user,insa asta inseamna si blocarea celor care uita de update,etc.

[lao]

Poti sa pui direct pe debian un script
http://sateliti.info/showthread.php?...cript+firewall
sau poti sa faci reguli in firewall pe debian in iptables, nu trebuie in ruter...
http://sateliti.info/showthread.php?...cript+firewall

[laleauaneagra]

iaca oscam e bun la treaba asta

[zappa]

Intra cu putty pe router si da comanda asta: route add -host ip-ul_dorit reject

[Diablo1]

@Black_Angel
Asa e cum iti zic , si eu am patit si am studiat putin fenomenul , multi crede ca säntem prosti si nu ne dam seama ce se intämpla

.
@zmeura
Te-as contrazice cu update si mai ales din greseala , nu prea se face greseli din astea
Dar si daca nu are updatat dyndns-ul arata asa:

Code:

08:14:39.415 CCcam: failed to get address for xxxxxx.dyndns.tv
08:14:39.418 CCcam: failed to get address for xxxxxx.dyndns.org
08:14:39.441 CCcam: failed to get address for xxxxx.dyndns.biz

si nu mai are treaba cu el doar cänd faci un restart sau vrei sa vezi cine si ce se cere in serverul tau
Nici decum ilegal user , el se leaga oricum in server pentru ca tu il accepti si daca nu are updatat dyndnsul
Binenteles pot sa gresesc si eu nu ma pricep prea bine la astea
Cea mai buna solutie este :

Code:

 0 0 0 { 0:0:0 } si fara dyndns

si poate se va plictisi el odata
sau
äi blochezi ip-ul

bafta si happy-sharing

[lao]

Sau il opresti definitiv din firewall:

/sbin/iptables -A INPUT -s 89.89.89.89 -j DROP # bou
/sbin/iptables -A INPUT -s bou2.dtdns.net -j DROP # alt bou

[zmeura]

Gresesti.
Ia topicul de la capat.Omul nostru se plange de aparitia unor "illegal user".Bun,zice lumea: mai sunt unii la care le-ai sters linia F dar ei nu au sters linia C si continua sa incerce conectare la tine.Bun,blochezi IP-uri daca te streseaza acele "illegal user".
Mai departe vedem ca el daca a eliminat restrictia (adresa dns) din linia F de la 2 useri cica aceste "illegal user" au disparut.Atunci inseamna ca acei useri nu sunt stersi,are linie F cu user/parola cu care incearca sa se conecteze si se conecteaza daca scoti restrictia.Problema e adresa-adresele ?Nu stim exact aici din lipsa de informatii daca sunt useri multipli sau e doar unul,totusi daca ar fi multipli ar apare mesajele din celalalt topic,cand un user scoate pe altul.Vad ca nu s-a plans omul nostru,deci bag seama ca s-a conectat doar unul si treaba merge bine-mersi.De aici am presupus ca peer-ul nu are ip-ul care trebuie,e doar unul si in concluzie poate fi chiar cel cu care a facut schimb.

08:14:39.415 CCcam: failed to get address for xxxxxx.dyndns.tv 08:14:39.418
CCcam: failed to get address for xxxxxx.dyndns.org 08:14:39.441
CCcam: failed to get address for xxxxx.dyndns.biz

E o problema legata de dns/nameserver si practic iti va da asa ceva la toate liniile,inafara celor trecute cu IP fix si nu adresa dns.

PS: Daca gresesc sa ma corecteze cei mai vechi in cccam,eu deabea daca am facut 1 an de cand il folosesc incontinuu.

---------- Post added at 16:57 ---------- Previous post was at 16:14 ----------

Am uitat sa dau citire din carte.
-Deci "illegal user":

This may be the most important to look for. There are two reason to see this error.
1. User that tries to log in does not exists.(adica i-ai sters linia F sau nu a avut niciodata linie cu acel user/password)
2. Most commonly: You have added IP or DNS behind your F: line to prevent user from logging in from wrong site. User have for some reason changed IP, and or have not updated DNS (dyndns) after he have got a new IP.(Atentie la ce v-am scris mai sus!) Jan 25 07:30:50 server2 CCcam: login from 94.211.13.180
Jan 25 07:30:50 server2 CCcam: illegal user zambibi from 94.211.13.180
Jan 25 07:30:50 server2 CCcam: kick 94.211.13.180, signature failed

-Double login (cand nu ai pus adresa dynds la linia F si incearca sa se conecteze de pe doua ip-uri diferite deodata,linie furata):

Two or more users tries to log in to your server using same username Jan 27 07:59:44 server2 CCcam: user badboy login attempt from 85.16.213.176
Jan 27 07:59:44 server2 CCcam: double login (badboy), (previous 84.202.182.63), reject
Jan 27 07:59:44 server2 CCcam: kick 85.16.213.176(), bad command

Pe unul il rejecteaza asa cum am explicat in alt topic pentru hackeri.

Deci trebuie stabilit clar daca "illegal user" aia sunt adevarati ca la punctul 1 sau de fapt sunt peers de ai tai care nu au facut update la adresa dyndns.Normal daca stii ca ai sters pe cineva fara sa il anunti e clar,daca nu mai cauta inainte sa incepi sa razi peers si sa ii blochezi ip-ul,pentru ca atunci cand isi va face update va fi blocat si te va vedea oricum offline,apoi te sterge,etc.

[laleauaneagra]

o parere scurta ca plec la serviciu referitor la ilegal user din motivu update host

cred ca totusi sant putini parteneri de share care sant vechi si cu experienta care isi fac update la host cu exe de pe pc,fiecare cred ca are o solutie mai buna de asi face update la host

totusi cred ca 3 zile sa nu iti faci update la host e o problema,singura varianta plauzibila fiind in concediu si i au picat toate sculele din casa

deci cred ca trebuie exculsa varianta cu update host mai ales daca si vb cu el pe mess si spune ca la el e totu ok...dau un ex

atatia ani nimeni nu mi a spus ca ar avea probleme cu mine din motiv de ilegal user si nici partenerii mei seriosi nu mi au aparut vreodata cu asa ceva,deci din punctu meu de vedere acel ilegal user nu are ce cauta la tine daca ai in coada hostul lui si cum ziceti voi are update de host la zi

decat daca.....dar aici nu mai continui,motivele sant multe si le stiti si voi

[zmeura]

1. User that tries to log in does not exists.(adica i-ai sters linia F sau nu a avut niciodata linie cu acel user/password)

Dar el scoate restrictia pusa cu adresa dyndns la niste linii prezente in cfg si .... dispar "illegal user".Deci nu poate fi ce scrie mai sus ci ... varianta a doua.Altele nici nu vad indiferent de experienta sau neexperienta celor cu care are schimb.

Cei de la care am linie (si au pus la ei in linia F adresa mea dyndns) sa imi spuna daca au "illegal user" cumva,tocmai ce am facut update la adresa dyndns de pe un alt IP.Bai,sa nu imi banati ip-ul ca va i-a mama lui Stefan cel Mare.

[Diablo1]

Hmm
Nu stiam ca ai si adresa dyndns !!!!