Import Blocklist to fail2ban (PHP Cronjob)
Re: Import Blocklist to fail2ban (PHP Cronjob)
Ich hab die IPs mal wieder in die /etc/network/interfaces eingetragen.
Nun sollte es wieder gehen.
Von den anderen Servern aus, erreiche ich die Webseiten mit z.B.
lynx http://[2a01:4f8:150:74e2::4]
bitte schau noch mal kurz, ob es bei dir auch geht.
Nun sollte es wieder gehen.
Von den anderen Servern aus, erreiche ich die Webseiten mit z.B.
lynx http://[2a01:4f8:150:74e2::4]
bitte schau noch mal kurz, ob es bei dir auch geht.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service
Re: Import Blocklist to fail2ban (PHP Cronjob)
Ja jetzt gehts auch mit Ipv6.
Re: Import Blocklist to fail2ban (PHP Cronjob)
Habe die Anleitung befolgt und bekomme nun leider diese Fehlermeldung.
fail2ban ist auf dem neusten stand...
wäre super wenn mir wer helfen kann
MFG
fail2ban ist auf dem neusten stand...
Code: Alles auswählen
2013-01-22 23:04:35,746 fail2ban.comm : WARNING Command ['set', 'blocklist', 'banip', '123.456.789.123'] has failed. Received UnknownJailException('blocklist',)
MFG
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hi,
Ich vermute, das im Namen bei der Jail evtl. noch ein Komma oder Leerzeichen drin ist.
Häng mal deine Configs an (jail.conf, jail.local).
Ich vermute, das im Namen bei der Jail evtl. noch ein Komma oder Leerzeichen drin ist.
Häng mal deine Configs an (jail.conf, jail.local).
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hallo,
ich versuche gerade hinter die Logik des https://api.blocklist.de/getlast.php?time=900 Skriptes zu steigen.
Wenn ich das Skript mit 600 Sekunden Differenzzeit aufrufe erhalte ich 72 IPs, bei 900 sec Differenz nur 57 Treffer. Sollte es nicht so sein, dass je größer die Zeitspanne ist auch mehr IPs im Ergebnis enthalten sind? Wenn ich selber rechne, z.B. 17:32 - 900 sec. = 17:16 und das als $time übergebe bekomme ich 372 Treffer.
Ist das Skript noch buggy oder mein Hirn?
VG Harald
ich versuche gerade hinter die Logik des https://api.blocklist.de/getlast.php?time=900 Skriptes zu steigen.
Wenn ich das Skript mit 600 Sekunden Differenzzeit aufrufe erhalte ich 72 IPs, bei 900 sec Differenz nur 57 Treffer. Sollte es nicht so sein, dass je größer die Zeitspanne ist auch mehr IPs im Ergebnis enthalten sind? Wenn ich selber rechne, z.B. 17:32 - 900 sec. = 17:16 und das als $time übergebe bekomme ich 372 Treffer.
Ist das Skript noch buggy oder mein Hirn?
VG Harald
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hi Harald,
ja, das scheint nicht korrekt zu sein.
Ich schau es mir am WE noch mal an, wobei IPs, die schon eine Stunde her sind gecached sind. Da muss ich prüfen, ob alle Cache-Files + die aktuellen Einträge korrekt ausgelesen wurden.
Ich schreib hier noch mal, wenn ich es gefixt hab.
ja, das scheint nicht korrekt zu sein.
Ich schau es mir am WE noch mal an, wobei IPs, die schon eine Stunde her sind gecached sind. Da muss ich prüfen, ob alle Cache-Files + die aktuellen Einträge korrekt ausgelesen wurden.
Ich schreib hier noch mal, wenn ich es gefixt hab.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service
Re: Import Blocklist to fail2ban (PHP Cronjob)
wie verhält sich der import auf die CPU load wenn alles importiert wird bzw. auch bei einem reboot des systems?
gruss
gruss
Re: Import Blocklist to fail2ban (PHP Cronjob)
OK, habe es mal so installiert ...
bekomme jetzt nur sehr viele already banned im fail2ban.log
ist das so OK oder klappt etwas nicht?
2013-02-28 12:02:52,779 fail2ban.actions: WARNING [blocklist] 188.143.235.21 already banned
### edit ###
scheint jetzt zu klappen, habe die iptables flushed (firewall + fail2ban restart)
bekomme jetzt nur sehr viele already banned im fail2ban.log
ist das so OK oder klappt etwas nicht?
2013-02-28 12:02:52,779 fail2ban.actions: WARNING [blocklist] 188.143.235.21 already banned
### edit ###
scheint jetzt zu klappen, habe die iptables flushed (firewall + fail2ban restart)
Re: Import Blocklist to fail2ban (PHP Cronjob)
bantime = 3600
nach einer Stunde läuft jetzt WARNING [blocklist] Unban xxx.xxx.xxx.xxx
sollte das nicht erst nach 24 Stunden erfolgen, also bantime = 86400
Chain fail2ban-blocklist ist jetzt wieder komplett leer
nach einer Stunde läuft jetzt WARNING [blocklist] Unban xxx.xxx.xxx.xxx
sollte das nicht erst nach 24 Stunden erfolgen, also bantime = 86400
Chain fail2ban-blocklist ist jetzt wieder komplett leer
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hi cabal,
wenn "bantime = 3600", dann entsperrt Fail2Ban diese wieder nach einer Stunde.
Wenn du in der jail.conf den Eintrag auf:
bantime = 84600
stellst, Fail2Ban neustartest, bzw. die Ips entsperrst und wieder sperrst, dann sollten diese für 24h gesperrt sein.
wenn "bantime = 3600", dann entsperrt Fail2Ban diese wieder nach einer Stunde.
Wenn du in der jail.conf den Eintrag auf:
bantime = 84600
stellst, Fail2Ban neustartest, bzw. die Ips entsperrst und wieder sperrst, dann sollten diese für 24h gesperrt sein.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service
Re: Import Blocklist to fail2ban (PHP Cronjob)
danke, es klappt jetzt alles ... habe die unban time jetzt auf 30 min vor dem cronjob gesetzt
bei dieser methode sollte es ja keine mail rejects mehr geben wenn die IP gelistet ist oder?
habe momentan heftige backscatter attacken mit gefakten returns und ich will soviel wie möglich schon vor dem mailserver abblocken ....
bei dieser methode sollte es ja keine mail rejects mehr geben wenn die IP gelistet ist oder?
habe momentan heftige backscatter attacken mit gefakten returns und ich will soviel wie möglich schon vor dem mailserver abblocken ....
Re: Import Blocklist to fail2ban (PHP Cronjob)
ich habe in letzter Zeit massig Load durch Bots, sind die Botlisten immer komplett oder werden die täglich neu erstellt?
Also z.B. wenn gestern ein Twenga Bot auf der Liste war ist der dann morgen auch noch gelistet?
Ich würde gerne solche Bots dauerhaft sperren ...
Also z.B. wenn gestern ein Twenga Bot auf der Liste war ist der dann morgen auch noch gelistet?
Ich würde gerne solche Bots dauerhaft sperren ...
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hi cbal,
Suchmaschinen Bots oder Bots, welche nur Get-Requests durchführen sind bei blocklist.de nicht gelistet.
Nur wenn welche z.B. sich in Honeypot-Foren registrieren oder ein Posting schreiben, sind diese in der Bot-/all-Liste gespeichert, bzw. gelistet.
Die Badbot-Liste wird ebenso alle 15 Minuten neu erstellt.
Suchmaschinen Bots oder Bots, welche nur Get-Requests durchführen sind bei blocklist.de nicht gelistet.
Nur wenn welche z.B. sich in Honeypot-Foren registrieren oder ein Posting schreiben, sind diese in der Bot-/all-Liste gespeichert, bzw. gelistet.
Die Badbot-Liste wird ebenso alle 15 Minuten neu erstellt.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hallo nochmal,
nach dem ich im Oktober es auf gegeben habe, weil der ganze Server nicht mehr wollte - versuche ich es noch mal.
Dieses mal mit einem frischen Unbuntu Server.
Aber ich erhalte komischerweise immer noch die gleiche Fehlermeldung.
Das erscheint mit
und
in der php Datei. Die Datei ist auch vorhanden.
Ein paar Beiträge vorher habe ich Martins rat befolgt und
sowie
ausgeführt.
Aber hier erhalte ich nur die Meldung:
und
Hätte vielleicht noch jemand einen Rat für mich, woran es evtl. noch liegen könnte?
Dankeschön vorab für die Hilfe
Gruß Heiko
nach dem ich im Oktober es auf gegeben habe, weil der ganze Server nicht mehr wollte - versuche ich es noch mal.
Dieses mal mit einem frischen Unbuntu Server.
Aber ich erhalte komischerweise immer noch die gleiche Fehlermeldung.
Code: Alles auswählen
root@*******:/etc/fail2ban# php blocklist.php
Code: Alles auswählen
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
Code: Alles auswählen
$cmd = "/usr/bin/fail2ban-client set blocklist banip $ip";
Code: Alles auswählen
$cmd = "fail2ban-client set blocklist banip $ip";
Ein paar Beiträge vorher habe ich Martins rat befolgt und
Code: Alles auswählen
strace php5 -f /etc/fail2ban/blocklist.php
Code: Alles auswählen
/bin/env -i /usr/bin/php5 -f /etc/fail2ban/blocklist.php
Aber hier erhalte ich nur die Meldung:
Code: Alles auswählen
bash: strace: command not found
Code: Alles auswählen
bash: /bin/env: No such file or directory
Dankeschön vorab für die Hilfe

Gruß Heiko
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hi,
damit strace und env installiert sind, musst du es noch installieren mit z.B.:
damit strace und env installiert sind, musst du es noch installieren mit z.B.:
Code: Alles auswählen
apt-get install strace{/code]
Hast du im Cronjob mal folgendes eingetragen?
[code]PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 * * * * root /usr/bin/php /etc/fail2ban/blocklist.php
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service
Re: Import Blocklist to fail2ban (PHP Cronjob)
Hallo Martin,
danke für die Antwort.
Per cron habe ich es noch nicht probiert, weil ich erst testen wollte ob es generell funktioniert.
Gibt es da unterschiede?
danke für die Antwort.
Code: Alles auswählen
root@:/home/heiko# apt-get install strace
Reading package lists... Done
Building dependency tree
Reading state information... Done
strace is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Code: Alles auswählen
root@:/home/heiko# apt-get install env
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Couldn't find package env
Gibt es da unterschiede?
Re: Import Blocklist to fail2ban (PHP Cronjob)
Wenn keine großen Abweichungen in den den .bash*/.zsh* usw. zwischen dem User und root vorhanden sind, solltest du dann ein:
strace php5 -f /etc/fail2ban/blocklist.php
ausführen können und so mehr sehen.
strace php5 -f /etc/fail2ban/blocklist.php
ausführen können und so mehr sehen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service
http://www.blocklist.de/de/ Fail2Ban Reporting Service