Import Blocklist to fail2ban (PHP Cronjob)

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 26. Dez 2012, 11:28

Ich hab die IPs mal wieder in die /etc/network/interfaces eingetragen.
Nun sollte es wieder gehen.
Von den anderen Servern aus, erreiche ich die Webseiten mit z.B.
lynx http://[2a01:4f8:150:74e2::4]

bitte schau noch mal kurz, ob es bei dir auch geht.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Schorch
Beiträge: 4
Registriert: 25. Dez 2012, 11:29

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Schorch » 26. Dez 2012, 18:01

Ja jetzt gehts auch mit Ipv6.

NRacers
Beiträge: 1
Registriert: 22. Jan 2013, 14:08

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von NRacers » 22. Jan 2013, 23:36

Habe die Anleitung befolgt und bekomme nun leider diese Fehlermeldung.
fail2ban ist auf dem neusten stand...

Code: Alles auswählen

2013-01-22 23:04:35,746 fail2ban.comm   : WARNING Command ['set', 'blocklist', 'banip', '123.456.789.123'] has failed. Received UnknownJailException('blocklist',)
wäre super wenn mir wer helfen kann

MFG

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 26. Jan 2013, 09:29

Hi,
Ich vermute, das im Namen bei der Jail evtl. noch ein Komma oder Leerzeichen drin ist.
Häng mal deine Configs an (jail.conf, jail.local).
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Harald
Beiträge: 5
Registriert: 17. Feb 2013, 14:47

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Harald » 22. Feb 2013, 17:37

Hallo,

ich versuche gerade hinter die Logik des https://api.blocklist.de/getlast.php?time=900 Skriptes zu steigen.
Wenn ich das Skript mit 600 Sekunden Differenzzeit aufrufe erhalte ich 72 IPs, bei 900 sec Differenz nur 57 Treffer. Sollte es nicht so sein, dass je größer die Zeitspanne ist auch mehr IPs im Ergebnis enthalten sind? Wenn ich selber rechne, z.B. 17:32 - 900 sec. = 17:16 und das als $time übergebe bekomme ich 372 Treffer.

Ist das Skript noch buggy oder mein Hirn?

VG Harald

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 22. Feb 2013, 17:47

Hi Harald,
ja, das scheint nicht korrekt zu sein.
Ich schau es mir am WE noch mal an, wobei IPs, die schon eine Stunde her sind gecached sind. Da muss ich prüfen, ob alle Cache-Files + die aktuellen Einträge korrekt ausgelesen wurden.
Ich schreib hier noch mal, wenn ich es gefixt hab.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von cabal » 28. Feb 2013, 10:16

wie verhält sich der import auf die CPU load wenn alles importiert wird bzw. auch bei einem reboot des systems?

gruss

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von cabal » 28. Feb 2013, 12:05

OK, habe es mal so installiert ...
bekomme jetzt nur sehr viele already banned im fail2ban.log
ist das so OK oder klappt etwas nicht?

2013-02-28 12:02:52,779 fail2ban.actions: WARNING [blocklist] 188.143.235.21 already banned

### edit ###
scheint jetzt zu klappen, habe die iptables flushed (firewall + fail2ban restart)

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von cabal » 28. Feb 2013, 14:44

bantime = 3600
nach einer Stunde läuft jetzt WARNING [blocklist] Unban xxx.xxx.xxx.xxx
sollte das nicht erst nach 24 Stunden erfolgen, also bantime = 86400

Chain fail2ban-blocklist ist jetzt wieder komplett leer

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 28. Feb 2013, 18:38

Hi cabal,

wenn "bantime = 3600", dann entsperrt Fail2Ban diese wieder nach einer Stunde.
Wenn du in der jail.conf den Eintrag auf:
bantime = 84600
stellst, Fail2Ban neustartest, bzw. die Ips entsperrst und wieder sperrst, dann sollten diese für 24h gesperrt sein.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von cabal » 1. Mär 2013, 08:34

danke, es klappt jetzt alles ... habe die unban time jetzt auf 30 min vor dem cronjob gesetzt
bei dieser methode sollte es ja keine mail rejects mehr geben wenn die IP gelistet ist oder?
habe momentan heftige backscatter attacken mit gefakten returns und ich will soviel wie möglich schon vor dem mailserver abblocken ....

cabal
Beiträge: 17
Registriert: 11. Mär 2012, 14:12

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von cabal » 20. Mär 2013, 17:08

ich habe in letzter Zeit massig Load durch Bots, sind die Botlisten immer komplett oder werden die täglich neu erstellt?
Also z.B. wenn gestern ein Twenga Bot auf der Liste war ist der dann morgen auch noch gelistet?
Ich würde gerne solche Bots dauerhaft sperren ...

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 20. Mär 2013, 17:17

Hi cbal,

Suchmaschinen Bots oder Bots, welche nur Get-Requests durchführen sind bei blocklist.de nicht gelistet.
Nur wenn welche z.B. sich in Honeypot-Foren registrieren oder ein Posting schreiben, sind diese in der Bot-/all-Liste gespeichert, bzw. gelistet.
Die Badbot-Liste wird ebenso alle 15 Minuten neu erstellt.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

derheiko
Beiträge: 15
Registriert: 10. Okt 2012, 13:35

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von derheiko » 2. Mai 2013, 09:33

Hallo nochmal,

nach dem ich im Oktober es auf gegeben habe, weil der ganze Server nicht mehr wollte - versuche ich es noch mal.

Dieses mal mit einem frischen Unbuntu Server.

Aber ich erhalte komischerweise immer noch die gleiche Fehlermeldung.

Code: Alles auswählen

root@*******:/etc/fail2ban# php blocklist.php

Code: Alles auswählen

sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
Das erscheint mit

Code: Alles auswählen

$cmd = "/usr/bin/fail2ban-client set blocklist banip $ip";
und

Code: Alles auswählen

$cmd = "fail2ban-client set blocklist banip $ip";
in der php Datei. Die Datei ist auch vorhanden.
Ein paar Beiträge vorher habe ich Martins rat befolgt und

Code: Alles auswählen

strace php5 -f /etc/fail2ban/blocklist.php
sowie

Code: Alles auswählen

/bin/env -i /usr/bin/php5 -f /etc/fail2ban/blocklist.php
ausgeführt.

Aber hier erhalte ich nur die Meldung:

Code: Alles auswählen

bash: strace: command not found
und

Code: Alles auswählen

bash: /bin/env: No such file or directory
Hätte vielleicht noch jemand einen Rat für mich, woran es evtl. noch liegen könnte?

Dankeschön vorab für die Hilfe :)

Gruß Heiko

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 2. Mai 2013, 23:50

Hi,
damit strace und env installiert sind, musst du es noch installieren mit z.B.:

Code: Alles auswählen

apt-get install strace{/code]

Hast du im Cronjob mal folgendes eingetragen?
[code]PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 * * * *       root    /usr/bin/php /etc/fail2ban/blocklist.php
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

derheiko
Beiträge: 15
Registriert: 10. Okt 2012, 13:35

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von derheiko » 10. Mai 2013, 06:58

Hallo Martin,

danke für die Antwort.

Code: Alles auswählen

root@:/home/heiko# apt-get install strace
Reading package lists... Done
Building dependency tree
Reading state information... Done
strace is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Code: Alles auswählen

root@:/home/heiko# apt-get install env
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Couldn't find package env
Per cron habe ich es noch nicht probiert, weil ich erst testen wollte ob es generell funktioniert.
Gibt es da unterschiede?

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Import Blocklist to fail2ban (PHP Cronjob)

Beitrag von Martin » 11. Mai 2013, 18:19

Wenn keine großen Abweichungen in den den .bash*/.zsh* usw. zwischen dem User und root vorhanden sind, solltest du dann ein:
strace php5 -f /etc/fail2ban/blocklist.php
ausführen können und so mehr sehen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten