Seite 1 von 1

Keine Attacks bei Blocklist??

Verfasst: 2. Nov 2016, 22:50
von hwd-admin
Hallo,
ich lasse in der Jail.local verschiedenes überwachen, als Beispiel hier postfix:

Code: Alles auswählen

[postfix]

enabled  = true
port     = smtp,ssmtp,submission
filter   = postfix
logpath  = /var/log/mail.log
action   = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
           sendmail-whois-lines[name=postfix, dest="fail2ban@blocklist.de", sender="mail@wie-bei-blocklist-hinterlegt.de", logpath=/var/log/mail.log]
Die IP wird gebannt und auch die Mails an Blocklist geht raus (laut mail.log), allerdings wird der Attacks-Zähler bei Bocklist nicht hochgezählt.
Woran kann das liegen?
Und wie stelle ich es an, das ich die Mail an Blocklist auch bekomme? Beim "dest="-Eintrag mit Komma separiert scheint nicht zu funktionieren.

Wenn ich das ohne den Eintrag

Code: Alles auswählen

%(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
dann wir der Zähler hochgezählt, allerdings die IP nicht gebannt.

Was mache ich verkehrt?

Danke & Viele Grüße

Re: Keine Attacks bei Blocklist??

Verfasst: 4. Nov 2016, 21:58
von hwd-admin
Ich glaube das ist schon richtig, was ich da gemacht habe.
Ich habe das Gefühl, das die Meldungen erst nach einer gewissen Anzahl an vorkommen bei Blocklist gemeldet werden.
Ist das so?
Also wird die Abuse Meldung für z.B. Mail erst nach 3 maligen vorkommen verschickt, bei Wordpress (Bruteforce) muss die Anzahl höher liegen...

Bleibt noch die Frage: Kann ich die Mail von meinen Server an Blocklist gleich an mehrere Empfänger senden...?
Wenn ja, wie?

Re: Keine Attacks bei Blocklist??

Verfasst: 11. Nov 2016, 11:02
von Martin
Hi Olli,

Die Attacken werden nur gezählt, wenn der Report/Mail in Ordnung war.
Sollten z.B. bei "wordpress-bruteforce" weniger als 6 Logzeilen vorhanden sein, so wird der Report nicht verarbeitet.
Oder sollte bei "postfix/mail" die Mail aus den Logs wegen uceprotect abgelehnt worden sein, so verarbeiten wir den Report auch nicht, da uceprotect zu viele false-positives hat.
Sobald der Report in Ordnung und die IP nicht gewhitelistet ist, wird auch ein Abuse-Report erstellt, wenn der letzte Abuse-Report älter als 24 Stunden her ist.

Du kannst in der /etc/fail2ban/jail.conf bei "destemail=" in Anführungszeichen mit Komma getrennt mehrere Empfänger eintragen.

Re: Keine Attacks bei Blocklist??

Verfasst: 19. Nov 2016, 12:18
von ciscllc
Hallo!

Auch ich habe das Problem. Es wird bei allen Server als letztes Eingangsdateum der 3.4.2016 angezeigt und seither werden keine neuen Daten verarbeitet...
Die Daten wurden nicht verändert, die Mails die ankommen, sehen folgend aus:

Code: Alles auswählen

Hi,

The IP 123.31.32.3 has just been banned by Fail2Ban after
3 attempts against ssh.


Here are more information about 123.31.32.3:

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '123.30.0.0 - 123.31.255.255'

inetnum:        123.30.0.0 - 123.31.255.255
netname:        VDC-NET
country:        vn
descr:          VietNam Data Communication Company (VDC)
admin-c:        VIG1-AP
tech-c:         VIG1-AP
status:         ALLOCATED NON-PORTABLE
changed:        hm-changed@vnnic.net.vn 20090325
mnt-by:         MAINT-VN-VNPT
source:         APNIC

role:           VDC IPADMIN GROUP
address:        Internet Building, Block II, Thang Long Inter Village
address:        Nguyen Phong Sac str, Cau Giay Dist,  Ha Noi
country:        VN
phone:          +84-912-800008
fax-no:         +84-4-9430427
e-mail:         hathm@vdc.com.vn
remarks:        send spam reports to abuse@vdc.com.vn
remarks:        and abuse reports to abuse@vnn.vn
admin-c:        THMH1-AP
tech-c:         THMH1-AP
nic-hdl:        VIG1-AP
notify:         hm-changed@vnnic.net.vn
mnt-by:         MAINT-VN-VNPT
changed:        hm-changed@vnnic.net.vn 20090325
source:         APNIC
changed:        hm-changed@apnic.net 20111114

% Information related to '123.31.32.0/19AS7643'

route:          123.31.32.0/19
descr:          VietNam Post and Telecom Corporation (VNPT)
descr:          VNPT-AS-AP
country:        VN
origin:         AS7643
remarks:        mailto: noc@vnn.vn
notify:         hm-changed@vnnic.net.vn
mnt-by:         MAINT-VN-VNPT
changed:        hm-changed@vnnic.net.vn 20100121
source:         APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

Regards,

Fail2Ban
Wäre das korrekt und wenn nein, wie kann ich fail2ban sagen, wie die mails aussehen sollen?

Danke!

Re: Keine Attacks bei Blocklist??

Verfasst: 21. Nov 2016, 12:38
von Martin
Hi Ciscllc,

in diesem Fall fehlen die Logfiles in der Mail.
Da musst du wahrscheinlich in der /etc/fail2ban/jail.conf bzw. jail.local den "mta=" auf "sendmail-whois-lines" ändern, damit die Logfiles mit gesendet werden.