Attacken von DenyHost reporten

Anleitungen zu Fail2Ban, blocklist.de und x-arf
Antworten
Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Attacken von DenyHost reporten

Beitrag von Martin » 7. Dez 2012, 02:14

Wenn man nicht Fail2Ban einsetzten möchte und z.B. DenyHost nutzt, kann mit folgendem Skript trotzdem die Angriffe an BlockList.de reporten.

Dazu erstellt man z.b. in /usr/share/denyhosts/DenyHosts/ (oder andere Stelle wie /etc/) die Datei blocklist.de-reporting.sh mit folgendem Inhalt und passt die Variablen an:

Code: Alles auswählen

#!/bin/bash
SENDERMAIL='fail2ban@DEINE-DOMAIN'
DESTINATIONMAIL='fail2ban@blocklist.de'
SSHLOG='/var/log/auth.log'

if [ -z $1 ]; then
echo "IP-Adresse nicht uebergeben...." ;
exit;
fi
IP=$1

LOGS=`grep $IP $SSHLOG | tail -n 50`

TEXT="sended from denyhost Plugin

Lines containing IP$IP:
$LOGS

Regards,
Fail2Ban"

SENDE=`echo "$TEXT" | mail -s "[Fail2Ban] ssh: banned $IP" -r $SENDERMAIL $DESTINATIONMAIL`
In der /etc/denyhosts.conf trägt man nun bei PLUGIN_DENY folgendes ein:

Code: Alles auswählen

PLUGIN_DENY=/usr/share/denyhosts/DenyHosts/blocklist.de-reporting.sh
Danach werden dann nach einer Sperrung die Logfiles an BlockList.de reportet.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten