Import Blocklist to fail2ban (PHP Cronjob)

[Martin]

Ich hab die IPs mal wieder in die /etc/network/interfaces eingetragen.
Nun sollte es wieder gehen.
Von den anderen Servern aus, erreiche ich die Webseiten mit z.B.
lynx http://[2a01:4f8:150:74e2::4]

bitte schau noch mal kurz, ob es bei dir auch geht.

[Schorch]

Ja jetzt gehts auch mit Ipv6.

[NRacers]

Habe die Anleitung befolgt und bekomme nun leider diese Fehlermeldung.
fail2ban ist auf dem neusten stand...

Code: Alles auswählen

2013-01-22 23:04:35,746 fail2ban.comm   : WARNING Command ['set', 'blocklist', 'banip', '123.456.789.123'] has failed. Received UnknownJailException('blocklist',)

wäre super wenn mir wer helfen kann

MFG

[Martin]

Hi,
Ich vermute, das im Namen bei der Jail evtl. noch ein Komma oder Leerzeichen drin ist.
Häng mal deine Configs an (jail.conf, jail.local).

[Harald]

Hallo,

ich versuche gerade hinter die Logik des https://api.blocklist.de/getlast.php?time=900 Skriptes zu steigen.
Wenn ich das Skript mit 600 Sekunden Differenzzeit aufrufe erhalte ich 72 IPs, bei 900 sec Differenz nur 57 Treffer. Sollte es nicht so sein, dass je größer die Zeitspanne ist auch mehr IPs im Ergebnis enthalten sind? Wenn ich selber rechne, z.B. 17:32 - 900 sec. = 17:16 und das als $time übergebe bekomme ich 372 Treffer.

Ist das Skript noch buggy oder mein Hirn?

VG Harald

[Martin]

Hi Harald,
ja, das scheint nicht korrekt zu sein.
Ich schau es mir am WE noch mal an, wobei IPs, die schon eine Stunde her sind gecached sind. Da muss ich prüfen, ob alle Cache-Files + die aktuellen Einträge korrekt ausgelesen wurden.
Ich schreib hier noch mal, wenn ich es gefixt hab.

[cabal]

wie verhält sich der import auf die CPU load wenn alles importiert wird bzw. auch bei einem reboot des systems?

gruss

[cabal]

OK, habe es mal so installiert ...
bekomme jetzt nur sehr viele already banned im fail2ban.log
ist das so OK oder klappt etwas nicht?

2013-02-28 12:02:52,779 fail2ban.actions: WARNING [blocklist] 188.143.235.21 already banned

### edit ###
scheint jetzt zu klappen, habe die iptables flushed (firewall + fail2ban restart)

[cabal]

bantime = 3600
nach einer Stunde läuft jetzt WARNING [blocklist] Unban xxx.xxx.xxx.xxx
sollte das nicht erst nach 24 Stunden erfolgen, also bantime = 86400

Chain fail2ban-blocklist ist jetzt wieder komplett leer

[Martin]

Hi cabal,

wenn "bantime = 3600", dann entsperrt Fail2Ban diese wieder nach einer Stunde.
Wenn du in der jail.conf den Eintrag auf:
bantime = 84600
stellst, Fail2Ban neustartest, bzw. die Ips entsperrst und wieder sperrst, dann sollten diese für 24h gesperrt sein.

[cabal]

danke, es klappt jetzt alles ... habe die unban time jetzt auf 30 min vor dem cronjob gesetzt
bei dieser methode sollte es ja keine mail rejects mehr geben wenn die IP gelistet ist oder?
habe momentan heftige backscatter attacken mit gefakten returns und ich will soviel wie möglich schon vor dem mailserver abblocken ....

[cabal]

ich habe in letzter Zeit massig Load durch Bots, sind die Botlisten immer komplett oder werden die täglich neu erstellt?
Also z.B. wenn gestern ein Twenga Bot auf der Liste war ist der dann morgen auch noch gelistet?
Ich würde gerne solche Bots dauerhaft sperren ...

[Martin]

Hi cbal,

Suchmaschinen Bots oder Bots, welche nur Get-Requests durchführen sind bei blocklist.de nicht gelistet.
Nur wenn welche z.B. sich in Honeypot-Foren registrieren oder ein Posting schreiben, sind diese in der Bot-/all-Liste gespeichert, bzw. gelistet.
Die Badbot-Liste wird ebenso alle 15 Minuten neu erstellt.

[derheiko]

Hallo nochmal,

nach dem ich im Oktober es auf gegeben habe, weil der ganze Server nicht mehr wollte - versuche ich es noch mal.

Dieses mal mit einem frischen Unbuntu Server.

Aber ich erhalte komischerweise immer noch die gleiche Fehlermeldung.

Code: Alles auswählen

root@*******:/etc/fail2ban# php blocklist.php

Code: Alles auswählen

sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory
sh: /fail2ban-client: No such file or directory

Das erscheint mit

Code: Alles auswählen

$cmd = "/usr/bin/fail2ban-client set blocklist banip $ip";

und

Code: Alles auswählen

$cmd = "fail2ban-client set blocklist banip $ip";

in der php Datei. Die Datei ist auch vorhanden.
Ein paar Beiträge vorher habe ich Martins rat befolgt und

Code: Alles auswählen

strace php5 -f /etc/fail2ban/blocklist.php

sowie

Code: Alles auswählen

/bin/env -i /usr/bin/php5 -f /etc/fail2ban/blocklist.php

ausgeführt.

Aber hier erhalte ich nur die Meldung:

Code: Alles auswählen

bash: strace: command not found

und

Code: Alles auswählen

bash: /bin/env: No such file or directory

Hätte vielleicht noch jemand einen Rat für mich, woran es evtl. noch liegen könnte?

Dankeschön vorab für die Hilfe

Gruß Heiko

[Martin]

Hi,
damit strace und env installiert sind, musst du es noch installieren mit z.B.:

Code: Alles auswählen

apt-get install strace{/code]

Hast du im Cronjob mal folgendes eingetragen?
[code]PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 * * * *       root    /usr/bin/php /etc/fail2ban/blocklist.php

[derheiko]

Hallo Martin,

danke für die Antwort.

Code: Alles auswählen

root@:/home/heiko# apt-get install strace
Reading package lists... Done
Building dependency tree
Reading state information... Done
strace is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Code: Alles auswählen

root@:/home/heiko# apt-get install env
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Couldn't find package env

Per cron habe ich es noch nicht probiert, weil ich erst testen wollte ob es generell funktioniert.
Gibt es da unterschiede?

[Martin]

Wenn keine großen Abweichungen in den den .bash*/.zsh* usw. zwischen dem User und root vorhanden sind, solltest du dann ein:
strace php5 -f /etc/fail2ban/blocklist.php
ausführen können und so mehr sehen.