IP entbannen (Suspicious login)
Wenn Nextcloud bei der Anmeldung anzeigt, dass zu viele Zugriffe von der IP erfolgt sind und man warten soll, kann der Administrator die IPs in der speziellen Datenbank-Tabelle löschen. Hierfür benötigt er den Zugriff auf die Datenbank.
In den Logs von Nextcloud sind folgende Einträge zu finden:
Diese Zeigen, dass von der genannten IP Zugriffe von dem bestimmten Benutzer mit einem falschen Passwort erfolgen.
Solange diese Einträge vermehrt bzw. durchgehend mit neuem Zeitstempel auftauchen, nutzt das Löschen aus der Datenbank nicht. Vorher muss das Geräte gefunden werden, welches im eigenen Haushalt eine fehlerhafte Anmeldung durchführt und das Passwort aktualisiert werden. Diese "Bruteforce"-Angriffe können auch auftreten, wenn ein falscher Benutzername eingebenen wurde. Die Software in Nextcloud sperrt direkt die ganze IP-Adresse und alle Nextcloud-Anwendungen sind betroffen.
Anzeigen der IP-Adressen in der Nextcloud-Datenbank (Docker)
Auf dem Server angemeldet, kann über folgenden Befehl die Tabelle mit dem "Suspicious login"-IPs angezeigt werden.
# Befehl für MySQL Datenbanken
docker exec CONTAINER_NAME mysql -u 'BENUTZERNAME' --password=PASSWORT --database=DATENBANK -e 'SELECT * FROM oc_bruteforce_attempts;'
# Befehl für Postgre Datenbanken
docker exec CONTAINER_NAME psql -d 'DATENBANK' -U 'BENUTZERNAME' -W 'PASSWORT' -c 'select * FROM oc_bruteforce_attempts;'Es werden Einträge in folgendem Format angezeigt.
id action occurred ip subnet metadata
30103 login 1637595659 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx/32 {"user":"BENUTZERNAME"}Entfernen einer IP-Adresse aus der Nextcloud-Datenbank
# Befehl für MySQL Datenbanken
docker exec CONTAINER_NAME mysql -u BENUTZERNAME --password=PASSWORT --database=DATENBANK -e 'DELETE FROM oc_bruteforce_attempts WHERE IP="IP_ADRESSE";'
# Befehl für Postgre Datenbanken
docker exec CONTAINER_NAME psql -d 'DATENBANK' -U 'BENUTZERNAME' -W 'PASSWORT' -c 'DELETE FROM oc_bruteforce_attempts WHERE IP="IP_ADRESSE";'
No Comments