Seite 1 von 1

Attacken von DenyHost reporten

Verfasst: 7. Dez 2012, 02:14
von Martin
Wenn man nicht Fail2Ban einsetzten möchte und z.B. DenyHost nutzt, kann mit folgendem Skript trotzdem die Angriffe an BlockList.de reporten.

Dazu erstellt man z.b. in /usr/share/denyhosts/DenyHosts/ (oder andere Stelle wie /etc/) die Datei blocklist.de-reporting.sh mit folgendem Inhalt und passt die Variablen an:

Code: Alles auswählen

#!/bin/bash
SENDERMAIL='fail2ban@DEINE-DOMAIN'
DESTINATIONMAIL='fail2ban@blocklist.de'
SSHLOG='/var/log/auth.log'

if [ -z $1 ]; then
echo "IP-Adresse nicht uebergeben...." ;
exit;
fi
IP=$1

LOGS=`grep $IP $SSHLOG | tail -n 50`

TEXT="sended from denyhost Plugin

Lines containing IP$IP:
$LOGS

Regards,
Fail2Ban"

SENDE=`echo "$TEXT" | mail -s "[Fail2Ban] ssh: banned $IP" -r $SENDERMAIL $DESTINATIONMAIL`
In der /etc/denyhosts.conf trägt man nun bei PLUGIN_DENY folgendes ein:

Code: Alles auswählen

PLUGIN_DENY=/usr/share/denyhosts/DenyHosts/blocklist.de-reporting.sh
Danach werden dann nach einer Sperrung die Logfiles an BlockList.de reportet.