Keine Attacks bei Blocklist??

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
hwd-admin
Beiträge: 5
Registriert: 31. Okt 2016, 09:58
Kontaktdaten:

Keine Attacks bei Blocklist??

Beitrag von hwd-admin » 2. Nov 2016, 22:50

Hallo,
ich lasse in der Jail.local verschiedenes überwachen, als Beispiel hier postfix:

Code: Alles auswählen

[postfix]

enabled  = true
port     = smtp,ssmtp,submission
filter   = postfix
logpath  = /var/log/mail.log
action   = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
           sendmail-whois-lines[name=postfix, dest="fail2ban@blocklist.de", sender="mail@wie-bei-blocklist-hinterlegt.de", logpath=/var/log/mail.log]
Die IP wird gebannt und auch die Mails an Blocklist geht raus (laut mail.log), allerdings wird der Attacks-Zähler bei Bocklist nicht hochgezählt.
Woran kann das liegen?
Und wie stelle ich es an, das ich die Mail an Blocklist auch bekomme? Beim "dest="-Eintrag mit Komma separiert scheint nicht zu funktionieren.

Wenn ich das ohne den Eintrag

Code: Alles auswählen

%(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
dann wir der Zähler hochgezählt, allerdings die IP nicht gebannt.

Was mache ich verkehrt?

Danke & Viele Grüße
Besten Dank & Viele Grüße
Olli

Fail2Ban 0.95
Ubuntu 14.04

hwd-admin
Beiträge: 5
Registriert: 31. Okt 2016, 09:58
Kontaktdaten:

Re: Keine Attacks bei Blocklist??

Beitrag von hwd-admin » 4. Nov 2016, 21:58

Ich glaube das ist schon richtig, was ich da gemacht habe.
Ich habe das Gefühl, das die Meldungen erst nach einer gewissen Anzahl an vorkommen bei Blocklist gemeldet werden.
Ist das so?
Also wird die Abuse Meldung für z.B. Mail erst nach 3 maligen vorkommen verschickt, bei Wordpress (Bruteforce) muss die Anzahl höher liegen...

Bleibt noch die Frage: Kann ich die Mail von meinen Server an Blocklist gleich an mehrere Empfänger senden...?
Wenn ja, wie?
Besten Dank & Viele Grüße
Olli

Fail2Ban 0.95
Ubuntu 14.04

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Keine Attacks bei Blocklist??

Beitrag von Martin » 11. Nov 2016, 11:02

Hi Olli,

Die Attacken werden nur gezählt, wenn der Report/Mail in Ordnung war.
Sollten z.B. bei "wordpress-bruteforce" weniger als 6 Logzeilen vorhanden sein, so wird der Report nicht verarbeitet.
Oder sollte bei "postfix/mail" die Mail aus den Logs wegen uceprotect abgelehnt worden sein, so verarbeiten wir den Report auch nicht, da uceprotect zu viele false-positives hat.
Sobald der Report in Ordnung und die IP nicht gewhitelistet ist, wird auch ein Abuse-Report erstellt, wenn der letzte Abuse-Report älter als 24 Stunden her ist.

Du kannst in der /etc/fail2ban/jail.conf bei "destemail=" in Anführungszeichen mit Komma getrennt mehrere Empfänger eintragen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

ciscllc
Beiträge: 1
Registriert: 24. Jun 2014, 12:04

Re: Keine Attacks bei Blocklist??

Beitrag von ciscllc » 19. Nov 2016, 12:18

Hallo!

Auch ich habe das Problem. Es wird bei allen Server als letztes Eingangsdateum der 3.4.2016 angezeigt und seither werden keine neuen Daten verarbeitet...
Die Daten wurden nicht verändert, die Mails die ankommen, sehen folgend aus:

Code: Alles auswählen

Hi,

The IP 123.31.32.3 has just been banned by Fail2Ban after
3 attempts against ssh.


Here are more information about 123.31.32.3:

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '123.30.0.0 - 123.31.255.255'

inetnum:        123.30.0.0 - 123.31.255.255
netname:        VDC-NET
country:        vn
descr:          VietNam Data Communication Company (VDC)
admin-c:        VIG1-AP
tech-c:         VIG1-AP
status:         ALLOCATED NON-PORTABLE
changed:        hm-changed@vnnic.net.vn 20090325
mnt-by:         MAINT-VN-VNPT
source:         APNIC

role:           VDC IPADMIN GROUP
address:        Internet Building, Block II, Thang Long Inter Village
address:        Nguyen Phong Sac str, Cau Giay Dist,  Ha Noi
country:        VN
phone:          +84-912-800008
fax-no:         +84-4-9430427
e-mail:         hathm@vdc.com.vn
remarks:        send spam reports to abuse@vdc.com.vn
remarks:        and abuse reports to abuse@vnn.vn
admin-c:        THMH1-AP
tech-c:         THMH1-AP
nic-hdl:        VIG1-AP
notify:         hm-changed@vnnic.net.vn
mnt-by:         MAINT-VN-VNPT
changed:        hm-changed@vnnic.net.vn 20090325
source:         APNIC
changed:        hm-changed@apnic.net 20111114

% Information related to '123.31.32.0/19AS7643'

route:          123.31.32.0/19
descr:          VietNam Post and Telecom Corporation (VNPT)
descr:          VNPT-AS-AP
country:        VN
origin:         AS7643
remarks:        mailto: noc@vnn.vn
notify:         hm-changed@vnnic.net.vn
mnt-by:         MAINT-VN-VNPT
changed:        hm-changed@vnnic.net.vn 20100121
source:         APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

Regards,

Fail2Ban
Wäre das korrekt und wenn nein, wie kann ich fail2ban sagen, wie die mails aussehen sollen?

Danke!

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Keine Attacks bei Blocklist??

Beitrag von Martin » 21. Nov 2016, 12:38

Hi Ciscllc,

in diesem Fall fehlen die Logfiles in der Mail.
Da musst du wahrscheinlich in der /etc/fail2ban/jail.conf bzw. jail.local den "mta=" auf "sendmail-whois-lines" ändern, damit die Logfiles mit gesendet werden.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten