• Advertisement

Plesk, Fail2Ban und Blocklist

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.

Plesk, Fail2Ban und Blocklist

Postby Broesel01 » 7. Jun 2017, 11:26

Moin Moin,

da ich meinen Server neu aufsetzen musste (Plattencrash) und ich leider meine Configs von Fail2Ban nicht gesichert hatte :cry: sitze ich wieder seit Stunden dran und bekomme nichts gebacken :cry:

System:
- Debian 8.8
- Plesk 12.5.30

Wenn ich mich per SSH versuche falsch einzuloggen habe ich trotz eingestellten 3 Versuchen 6 Versuche zur Passworteingabe.

Ich bekomme zwar eine Benachrichtigungsemail jedoch ist diese OHNE Whois.

Code: Select all
iptables[blocktype="REJECT --reject-with icmp-port-unreachable", name="default", port="64001", protocol="tcp", chain="INPUT"]
blocklist_de[email="fail2ban@xxx.xxx", apikey="58xxxxx"]
sendmail[dest="fail2ban@blocklist.de", sender="fail2ban", sendername="Fail2Ban", name="default"]


fail2ban.log
Code: Select all
2017-06-07 12:19:31,968 fail2ban.filter         [22783]: INFO    [sshd] Found 78.55.151.191
2017-06-07 12:19:32,245 fail2ban.actions        [22783]: NOTICE  [sshd] Ban 78.55.151.191
2017-06-07 12:19:43,096 fail2ban.action         [22783]: ERROR   curl --fail --data-urlencode 'server=fail2ban@xxx.xxx' --data 'apikey=58xxxxx' --data 'service=<service>' --data 'ip=78.55.151.191' --data-urlencode 'logs=Jun  7 12:18:43 gamemaster sshd\[24760\]: Invalid user test from 78.55.151.191
Jun  7 12:19:28 gamemaster sshd\[24954\]: Invalid user re from 78.55.151.191
Jun  7 12:19:31 gamemaster sshd\[24954\]: Failed password for invalid user re from 78.55.151.191 port 32734 ssh2' --data 'format=text' --user-agent "fail2ban v0.8.12" "https://www.blocklist.de/en/httpreports.html" -- stdout: ''
2017-06-07 12:19:43,097 fail2ban.action         [22783]: ERROR   curl --fail --data-urlencode 'server=fail2ban@xxx.xxx' --data 'apikey=58xxxxx' --data 'service=<service>' --data 'ip=78.55.151.191' --data-urlencode 'logs=Jun  7 12:18:43 gamemaster sshd\[24760\]: Invalid user test from 78.55.151.191
Jun  7 12:19:28 gamemaster sshd\[24954\]: Invalid user re from 78.55.151.191
Jun  7 12:19:31 gamemaster sshd\[24954\]: Failed password for invalid user re from 78.55.151.191 port 32734 ssh2' --data 'format=text' --user-agent "fail2ban v0.8.12" "https://www.blocklist.de/en/httpreports.html" -- stderr: '  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current\n                                 Dload  Upload   Total   Spent    Left  Speed\n\r  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0\r100   493    0     0  100   493      0   1879 --:--:-- --:--:-- --:--:--  1874\r100   493    0     0  100   493      0    390  0:00:01  0:00:01 --:--:--   390\r100   493    0     0  100   493      0    217  0:00:02  0:00:02 --:--:--   217\r100   493    0     0  100   493      0    150  0:00:03  0:00:03 --:--:--   150\r100   493    0     0  100   493      0    115  0:00:04  0:00:04 --:--:--   115\r100   493    0     0  100   493      0     93  0:00:05  0:00:05 --:--:--     0\r100   493    0     0  100   493      0     78  0:00:06  0:00:06 --:--:--     0\r100   493    0     0  100   493      0     67  0:00:07  0:00:07 --:--:--     0\r100   493    0     0  100   493      0     59  0:00:08  0:00:08 --:--:--     0\r100   493    0     0  100   493      0     53  0:00:09  0:00:09 --:--:--     0\r100   493    0     0  100   493      0     47  0:00:10  0:00:10 --:--:--     0curl: (22) The requested URL returned error: 400 Bad Request\n'
2017-06-07 12:19:43,097 fail2ban.action         [22783]: ERROR   curl --fail --data-urlencode 'server=fail2ban@xxx.xxx' --data 'apikey=58xxxxx' --data 'service=<service>' --data 'ip=78.55.151.191' --data-urlencode 'logs=Jun  7 12:18:43 gamemaster sshd\[24760\]: Invalid user test from 78.55.151.191
Jun  7 12:19:28 gamemaster sshd\[24954\]: Invalid user re from 78.55.151.191
Jun  7 12:19:31 gamemaster sshd\[24954\]: Failed password for invalid user re from 78.55.151.191 port 32734 ssh2' --data 'format=text' --user-agent "fail2ban v0.8.12" "https://www.blocklist.de/en/httpreports.html" -- returned 22
2017-06-07 12:19:43,098 fail2ban.actions        [22783]: ERROR   Failed to execute ban jail 'sshd' action 'blocklist_de' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x7fea2695fe60>, 'matches': u'Jun  7 12:18:43 gamemaster sshd[24760]: Invalid user test from 78.55.151.191\nJun  7 12:19:28 gamemaster sshd[24954]: Invalid user re from 78.55.151.191\nJun  7 12:19:31 gamemaster sshd[24954]: Failed password for invalid user re from 78.55.151.191 port 32734 ssh2', 'ip': '78.55.151.191', 'ipmatches': <function <lambda> at 0x7fea2695fd70>, 'ipfailures': <function <lambda> at 0x7fea250d15f0>, 'time': 1496830772.245296, 'failures': 3, 'ipjailfailures': <function <lambda> at 0x7fea250d1d70>})': Error banning 78.55.151.191


Weiss zufällig jemand Rat? Da ich jetzt gleich zur Schicht muss werden meine Antworten bis heute Nacht dauern.

Schon jetzt vielen Dank an euch!
Gruss
- Andy -
Broesel01
 
Posts: 6
Joined: 10. Mar 2016, 10:54

Re: Plesk, Fail2Ban und Blocklist

Postby Broesel01 » 12. Jun 2017, 19:56

Moin Moin,

echt schade, dass keine Reaktion kommt :(
Gruss
- Andy -
Broesel01
 
Posts: 6
Joined: 10. Mar 2016, 10:54

Re: Plesk, Fail2Ban und Blocklist

Postby Broesel01 » 24. Jun 2017, 22:39

Moin Moin,

richtig schlechter Support in der Zwischenzeit :(
Gruss
- Andy -
Broesel01
 
Posts: 6
Joined: 10. Mar 2016, 10:54

Re: Plesk, Fail2Ban und Blocklist

Postby Martin » 7. Jul 2017, 01:16

Hi,

auch wir brauchen mal Urlaub und blocklist.de ist ein Projekt, was ich alleine stemme und aus eigener Tasche bezahle!
Dazu habe ich noch mein normalen Job und meine Hobbies. Wenn ich da mal ein Monat nichts ins Forum schaue, war viel los.
Dafür gibt es aber auch das Kontaktformular, wo ich dann eine Push-Notification bekomme und dann (zwar auch nicht im Urlaub), aber zeitnah antworte.

Das Problem ist:
sendmail[dest="fail2ban@blocklist.de", sender="fail2ban", sendername="Fail2Ban", name="default"]
Mach da einfach ein:
sendmail-whois-lines[dest="fail2ban@blocklist.de", sender="fail2ban", sendername="Fail2Ban", name="default"]
draus wie in der Beispiel-Config, dann kommen auch die Whoisdaten mit.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
User avatar
Martin
 
Posts: 407
Joined: 14. Sep 2010, 11:54

Re: Plesk, Fail2Ban und Blocklist

Postby Broesel01 » 10. Jul 2017, 09:46

Moin,

danke dir.
Gruss
- Andy -
Broesel01
 
Posts: 6
Joined: 10. Mar 2016, 10:54


Return to Allgemeines zu blocklist und Fail2Ban

Who is online

Users browsing this forum: No registered users and 1 guest

  • Advertisement
cron
figurative