Fehler mit cURL

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
Benutzeravatar
NoTeefy
Beiträge: 3
Registriert: 24. Jan 2015, 16:26

Fehler mit cURL

Beitrag von NoTeefy » 24. Jan 2015, 20:38

Guten Tag

Habe heute euer tolles Projekt entdeckt und würde euch auch gerne mit meinem Root unterstützen.
Die Mail-Variante kommt für mich nicht in Frage, da ich meine Mails über einen externen MX laufen lasse. Aus diesem Grund muss ich die cURL-Methode verwenden.
So weit, so gut. Nun mein Problem: Habe alles (wie schon in mehreren Beiträgen von Martin) korrekt eingestellt, bzw. die conf blocklist_de.conf eingefügt und in meinem jail.conf unter den ssh Jails die Actions eingetragen.
Alles funktioniert soweit, nur wenn jetzt eine IP geblockt wird, meldet mir Fail2Ban im Log folgendes:

Code: Alles auswählen

2015-01-24 20:22:03,008 fail2ban.actions: WARNING [ssh] Ban 177.21.255.94
2015-01-24 20:22:03,183 fail2ban.actions.action: ERROR  curl --fail --data-urlencode 'server=webmaster@noteefy.de' --data 'apikey=----------' --data 'service=sshd' --data 'ip=177.21.255.94' --data-urlencode 'logs=Jan 24 20:22:02 ns3511573 sshd\[8585\]: Invalid user tino from 177.21.255.94\
' --data 'format=text' --user-agent "fail2ban v0.8.12" "https://www.blocklist.de/en/httpreports.html" returned 1600
Er kann die Daten also nicht richtig übergeben. Habe jetzt schon 3 Stunden versucht das Ganze zu fixxen, habs aber nicht hinbekommen.
Hoffentlich könnt ihr mir da weiterhelfen, habe ziemlich viele Crawler-Attacks auf meinem Server, welche für eure DB sicher nützlich wären.


Freundliche Grüsse

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fehler mit cURL

Beitrag von Martin » 26. Jan 2015, 19:42

Hallo,

es ist nötig mindestens 2/3 Log-Einträge mit zu senden, da bei nur einem Log-Eintrag, die Wahrscheinlichkeit eines False-Positives zu hoch ist.
Wenn es mehr als 3 Fehllogins im Log gibt, wird der Report entsprechend angenommen.

Die genaue Fehlermeldung wird auch ausgegeben, wenn man den Curl-Aufruf einmal direkt auf der Shell ausführt.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
NoTeefy
Beiträge: 3
Registriert: 24. Jan 2015, 16:26

Re: Fehler mit cURL

Beitrag von NoTeefy » 26. Jan 2015, 22:53

Guten Abend
Vielen Dank für die schnelle Antwort!. Nun hätte ich noch eine andere Frage: Das mit den Reports klappt nun soweit, jetzt habe ich aber folgendes Problem: Durch das Reporten werden die IP's nicht in die iptables eingetragen...
Ist die Aktion falsch konfiguriert oder muss ich da noch zusätzlich eine Aktion für die iptables hinterlegen?


Freundliche Grüsse

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fehler mit cURL

Beitrag von Martin » 26. Jan 2015, 23:27

Hi,

es müssen in der jail.conf zwei Action-Anweisungen enthalten sein:

Code: Alles auswählen

action = blocklist_de_action_mit[server=%sender, apikey=xxxx usw]
                      iptables-anweisung_wie_multiport[name=%service usw.]
Dann wird der Eintrag an die blocklist.de-API gesendet und per zweiter iptables-Anweisung gesperrt.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Benutzeravatar
NoTeefy
Beiträge: 3
Registriert: 24. Jan 2015, 16:26

Re: Fehler mit cURL

Beitrag von NoTeefy » 27. Jan 2015, 15:49

Hallo,

Alles klar - vielen Dank!
Nun läuft alles bestens.


Freundliche Grüsse

Antworten