Offline nach hackerangriff

Ich betreibe nextCloud auf einem rPi 4b 4Gb.
Dieser steht bei mir zuhause und funktioniert auch soweit einwandfrei.
Neuerdings machen sich Hacker ĂŒber meine Cloud her - zum GlĂŒck gibt es fail2bann !!

Nun zu dem Problem: meistens treiben die Hacker nachts ihr Unwesen. Das seh’ ich morgensfrĂŒh immer, wenn ich eine neue E-Mail von meiner Cloud // fail2bann erhalten habe.

Leider kann ich mich danach auch selber nicht mehr verbinden
 Browser sagt Webseite wĂ€re nicht verfĂŒgbar, App sagt Server nicht verfĂŒgbar und SSH sagt das der Host wohl nicht aktiv wĂ€re.

Da ich auf Montage arbeite ist es mir nicht möglich jedes Mal meinen rPi neu zu starten.

Hat irgendwer eine Idee woran es liegen könnte, wie ich es umgehen kann, oder wie ich gucken kann, warum die Cloud jedes Mal danach offline geht??
Oder wie ich dem rPi allgemein mitteilen kann, das er Verbindungen nur von einer bestimmen MAC annehmen soll?

es gibt eine app, die lÀsst nur whitegelistete IP-adressen durch. vielleicht hilft dir das ja schon ein bisschen?

Nein, leider nicht. Ich benutze nextCloud hauptsÀchlich als Backup server (Musik, Fotos, Videos, Backup vom Handy etc.) um unabhÀngig von den g**gle oder iDoof Diensten zu sein.
Meine IP vom Handy wechselt (denke ich Mal) stĂ€ndig und auch die WiFi’s durch die Arbeit bedingt. Deshalb wĂ€re mir ein MAC Filter am liebsten – vorausgesetzt es lĂ€sst sich nicht beheben, das die Cloud jedes mal offline geht.
Die Hackerangriffe an sich sind mir egal, solang fail2bann funktioniert :stuck_out_tongue:

MAC filter funktioniert nur im eigenen Netzwerk. Wie sieht das bei dir aus, greifen da so viele “Hacker” darauf zu, dass dein RPi nicht mehr nachkommt? Du selbst kommst nicht auf die Blacklist von fail2ban?

Falls du einen Router mit open-source Software hast, kannst du eventuell die IPs schon auf Router-Level sperren und den RPi entlasten.

Wenigstens als Hintereingang wĂŒrde ich mir was mit einem VPN auf dem Router einrichten, worĂŒber ich dann auf den RPi komme. D.h. die Verbindungen nach außen auf dem RPi so weit runterschrauben, dass der Zugriff ĂŒber local immer klappt.

ich habe eben noch die app geoblocker gefunden
 vielleicht solltest du dir die mal ansehen und dann ggf alle aussperren, die nicht aus deutschland kommen. das minimiert die möglichen angreifer schon mal.

1 Like

Vielen Dank Jimmy. Bin am Wochenende wieder Zuhause, dann werde ich das Mal testen. Aktuell ist die Cloud Lieder wieder offline.
Sonntag Abend das Haus verlassen, ĂŒber Nacht wurde sie dann 2x wieder angegriffen und seitdem ist sie wieder offline :frowning:

Ungewöhnlich. Ich betreibe Nextcloud auf schwĂ€cherer Hardware und fail2ban blockt im Durchschnitt stĂŒndlich 2 IPs und ich habe keine Probleme. Der Raspi-4 sollte damit eigentlich locker fertig werden.
Was steht denn in der Logdatei von fail2ban (vermutlich zu finden unter /var/log/fail2ban.log) ĂŒber die nĂ€chtlichen Zugriffe?

Es könnte auch sein, dass fail2ban aus irgendeinem Grunde deine (bzw. alle) GerĂ€te „aussperrt“. Wie lange ist denn die bantime im entsprechenden jail? Hast du irgendwelche actions definiert? Kannst du die fail2ban-regexe hier posten, die du als filter benutzt?

Ich hatte die Einstellungen von fail2ban auf Standart gelassen. In einem ersten Versuch hatte ich dann die Versuche auf 3 reduziert und die Sperrzeit auf 10std erhöht.

Das log werde ich Freitagabend/Samstagmorgen Mal durchgucken und gegebenfalls posten.

Da die logdatei zuviele Zeichen enthÀlt um sie zu Posten, hab ich sie hier Mal hochgeladen, falls jemand helfen kann
fail2ban Log datei

GrundsÀtzlich ist es hilfreich einen alternativen und etwas ungewöhnlicheren SSH Port zu nutzen und 22 abzuschalten. Kann man sehr einfach in /etc/ssh/sshd_config einstellen (+ ssh(d) reboot).

Das stellt natĂŒrlich keine verbesserte Sicherheit dar, es reduziert aber die plumpen brute-force Angriffe deutlich.

Besonders hartnĂ€ckige brute-forcer kann man natĂŒrlich auch manuell permanent sperren, z.B. ĂŒber IP Tables.

Bildschirmfoto_2020-03-22_11-55-30

Das hilft nur leider bei deinem eigentlichen Problem nicht weiter.

1 Like

Whitelisting ist auch auf der Ebene von fail2ban möglich:

/etc/fail2ban/jail.local
ignoreip = 127.0.0.1/8 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx usw.

Entweder einzelne IP Adressen xxx.xxx.xxx.xxx(/32) oder CIDR Blöcke:
192.168.3.0/24 entspricht Subnetzmaske 255.255.255.0, also alle Adressen aus 192.168.3.x

Nein, das mit der Whitelist hilft mir leider nicht. nextCloud benutzte ich hauptsÀchlich als Backup vom Handy, um frei von den g**gle oder iDoof Diensten zu sein.
Folglich wechselt meine IP stÀndig.
Eine Whitelist fĂŒr MAC-Adressen wĂ€re wohl das sinnvollste.

Danke fĂŒr den Tipp mit dem Ă€ndern des SSH-Port’s. Werde das Mal anwenden und beobachten

Musst du den SSH-Port denn wirklich freigeben? FĂŒr das Nutzen von Nextcloud brauchst du den SSH-Zugang ja gar nicht. Wenn es dir genĂŒgen wĂŒrde, dich nur von zuhause aus oder ĂŒber VPN per SSH einzuloggen, könntest du die SSH-Portweiterleitung im Router deaktivieren und SSH-Angriffe sind schon einmal gar nicht mehr möglich.

1 Like