• Advertisement

Blocklist IP-Adressen in Plesk's Fail2ban

Anleitungen zu Fail2Ban, blocklist.de und x-arf

Blocklist IP-Adressen in Plesk's Fail2ban

Postby wedeen » 3. Jul 2015, 14:40

Hallo,

dann will ich jetzt auch mal eine kleine Anleitung schreiben, die sich zwar aus den anderen Tutorials ableiten lässt, aber vielleicht trotzdem einigen hilft, die neu dabei sind und von der Plesk Eingabemaske verwirrt sind.

Ziel ist es, die in Blocklist gelisteten Adressen per Plesk Fail2ban zu importieren und auszusperren.
In diesem Beispiel importiere ich jede Stunde alle IP-Adressen, die zum Service ssh hinterlegt sind. (Früher habe ich immer alle Services importiert, das sind aber sehr viele IP-Adressen, wobei der Server ewig mit beschäftigt war. teilweise über 1 Stunde. Da bei mir über ssh die meisten Einbruchsversuche kommen, sperre ich erstmal nur diese IPs vorab. Der Rest wird von Fail2ban beim Versuch geblockt.)


Als erstes müssten die Dateien empty.log und blocklist.php in /etc/fail2ban/ Ordner angelegt werden.
Die empty.log bleibt leer.
Der Inhalt der blocklist.php ist folgender

Code: Select all
<?php
$time = date("H:i",time()-3600);
$src = file_get_contents("https://api.blocklist.de/getlast.php?time=".$time."&service=ssh");
$arr = explode("\n",$src);
foreach($arr as $ip) {
        if(trim($ip)=="") continue;
        $cmd = "fail2ban-client set ssh-blocklist banip $ip";
        exec($cmd);
}
exec("echo \"-\" > /etc/fail2ban/empty.log"); //force reload ip-locks
?>


Besitzer der Dateien ist root

Dann muss in Plesk das Jail angelegt werden. Folgendes muss in die Felder eingetragen werden:
Name: ssh-blocklist
Filter: sshd - Fehlgeschlagene SSH-Anmeldeversuche
Aktion: im Auswahlfeld "Ip-Tables - Sperren via iptables-Firewall, auf einen einzigen Port" wählen und Hinzufügen klicken
Protokollpfad: /etc/fail2ban/empty.log
Zeitraum für IP-Adress-Sperre: 86400
Maximale Anzahl an fehlgeschlagenen Anmeldeversuchen: 1

Speichern, es ist dann direkt aktiviert, das kann so bleiben.

Dann noch einen Crontab anlegen, der die blocklist.php stündlich ausführt und somit die IP Adressen der letzten Stunde von Blocklist abruft.
Das kann man entweder über die Konsole über crontab -e erledigen:
Code: Select all
0 */1 * * * php /etc/fail2ban/blocklist.php


Oder ebenfalls über Plesk:
Tools & Einstellungen -> Tools & Ressourcen -> Geplante Aufgaben -> Systembenutzer root -> Neue Aufgabe hinzufügen
und wie folgt ausfüllen:
Aktiviert: Haken setzen
Minute: 0
Stunde: */1 (bedeutet jede Stunde, alle 2 Stunden wäre */2 )
Monat: *
Wochentag: *
Befehl: php /etc/fail2ban/blocklist.php

Und auf Ok klicken.

Zur nächsten vollen Stunde kann man unter den gesperrten Adressen viele IPs bewundern.

Hoffe es hilft einigen beim Absichern. Wer will kann so ja auch noch andere Dienste absichern.

Viel Erfolg.

LG, Verena
Last edited by wedeen on 6. Jul 2015, 11:06, edited 1 time in total.
wedeen
 
Posts: 5
Joined: 6. Aug 2013, 16:11

Re: Blocklist Adressen in Plesk Fail2ban

Postby Martin » 3. Jul 2015, 17:26

Hallo Verena,

vielen Dank für die Anleitung.
Ich verwende kein Plesk, schau aber am WE gerne mal drüber.
Konntest du die Frage aus dem anderen Beitrag bereits lösen?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 407
Joined: 14. Sep 2010, 11:54

Re: Blocklist Adressen in Plesk Fail2ban

Postby wedeen » 4. Jul 2015, 11:47

Hallo Martin,

gern, es gab die Fragen ja hier schon einige Male, vielleicht hilft es jemandem.

Ja, ich denke, die Frage konnte ich klären, muss da noch Bescheid schreiben. Ich stand ja vor dem gleichen Problem, dass man einfach nicht weiß, was Plesk da eingegeben haben möchte, aber ich hab dann - wie ich es immer tue - einfach herumprobiert mit den Daten, die ich dem am ähnlichsten sind, wie ich sie manuell über die Konsole eingegeben hätte und es hat wunderbar funktioniert. Wäre natürlich toll, wenn in dem anderen Beitrag noch ne Antwort kommt um das ganze noch zu bestätigen, aber da es läuft gehe ich mal davon aus, dass Plesk diese Angaben vollkommen reichen.

Hoffe, Du kommst damit genauso gut klar. Kannst Du es denn ohne Plesk testen oder soll ich noch Screenshots nachsenden?

Grüße, Verena
wedeen
 
Posts: 5
Joined: 6. Aug 2013, 16:11

Re: Blocklist IP-Adressen in Plesk's Fail2ban

Postby Martin » 14. Jul 2015, 17:07

Hi,

also das Skript selbst funktioniert bei mir auf einem Test-VServer ohne Plesk ohne Probleme.
Ob oder wie das anlegen des Cronjobs in Plesk/Fail2ban abläuft, weiß ich leider nicht, aber ich denke, man bekommt es mit deiner Beschreibung gut hin.

Mfg Martin
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 407
Joined: 14. Sep 2010, 11:54

Re: Blocklist IP-Adressen in Plesk's Fail2ban

Postby Broesel01 » 10. Mar 2016, 14:14

Moin Moin,

Danke für die Anleitung.

Da ich feststellen musste, dass ein paar Angaben nicht mit Plesk 12 übereinstimmen poste ich hier zwei Screenshots um etwaige Verwirrungen zu vermeiden.

Beim Anlegen des Jails in Plesk 12 sollte es wie folgt VOR den Klick auf "OK" aussehen

Image

Beim Anlegen des Cronjobs in Plesk 12 sollte es wie folgt VOR den Klick auf "OK" aussehen. Bitte beachtet, dass die Anleitung etwas von Plesk 12 abweicht.
Unter "Beschreibung" seht ihr meinen eigenen Eintrag den ihr nach eigenen Wünschen anpassen könnt. Auch die Benachrichtigungen könnt ihr nach euren Wünschen anpassen.

Image
Gruss
- Andy -
Broesel01
 
Posts: 6
Joined: 10. Mar 2016, 10:54

Re: Blocklist IP-Adressen in Plesk's Fail2ban

Postby bluewater » 21. Apr 2017, 18:58

Hallo,

ich nutze dieses Script, bekomme aber seit ein paar Tagen immer die Meldung das der Server nicht erreicht werden kann.
Aufgerufern wird das Script über /usr/bin/php /etc/fail2ban/blocklist.php (rootuser)

Code: Select all
PHP Warning:  file_get_contents(http://api.blocklist.de/getlast.php?time=19:00&service=ssh): failed to open stream: HTTP request failed!  in /etc/fail2ban/blocklist.php on line 3


ein ping auf api.blocklist.de ist erfolgreich:
Code: Select all
ping api.blocklist.de
PING api.blocklist.de (185.21.103.31) 56(84) bytes of data.
64 bytes from webserver3.blocklist.de (185.21.103.31): icmp_seq=1 ttl=55 time=19.7 ms



jemand eine Ahnung wie ich den Fehler beheben kann?
bluewater
 
Posts: 3
Joined: 28. Feb 2017, 14:28

Re: Blocklist IP-Adressen in Plesk's Fail2ban

Postby Martin » 3. May 2017, 09:34

Hi,

weißt du ungefähr zu welcher Uhrzeit das war?
Hast du einmal auf https umgestellt?

Es kommt leider immer mal wieder in den letzten Wochen vor, das paar einzelne IPs die Verbindungen voll machen. Diese werden zwar automatisch gesperrt, aber es dauert dann ca. 10 Minuten, bis der Webserver wieder schnell antwortet.
Ich hab die Verbindungen schon erhöht und beobachte das weiter.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 407
Joined: 14. Sep 2010, 11:54


Return to Anleitungen

Who is online

Users browsing this forum: No registered users and 1 guest

  • Advertisement
cron
figurative