• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

fail2ban - automatische Abuse Mail

NacKteOmA

New Member
Hoi :)

Ich habe mal ne Frage. Ich arbeite in einem RZ und darf mich als Techniker oft mit Abuse Mails rumschlagen und seit nen paar Tagen bekommen wir von jemand automatisch generierte Abuse Mails, wenn fail2ban los schlägt (zu viele falsche Logins).

Ich finde diese Funktion / Idee eigentlich ganz gut und würde gern mal Wissen wie man dies umsetzt. Ich mein fail2ban kann Mails senden klar, aber wie man automatisch die Zuweisung ausliesst ist mir nicht so bekannt (wem gehört die IP, wie lautet die Abuse Email Adresse des Betreibers....)

Hat jemand ne ahnung?
 
whois <IP> und dann passend filtern?

Zum Beispiel:
Code:
whois 83.169.4x.xxx
% Information related to '83.169.40.0 - 83.169.47.255'
inetnum:	83.169.40.0 - 83.169.47.255
remarks:	INFRA-AW
netname:	DE-HE-LVPS-NET
descr:		Host Europe GmbH
descr:		hostmaster@hosteurope.de
country:	DE
admin-c:	HER4-RIPE
tech-c:		HER
status:		ASSIGNED PA
mnt-by:		HOSTEUROPE-MNT
source:		RIPE
role:		Host Europe Ripehandle
address:	Hansestr. 109
address:	51149 Koeln
phone:		+49 2203 1045 0
[B]abuse-mailbox:	net-abuse@hosteurope.de[/B]
...
EDIT: Weiteres Googlen liefert http://www.x-arf.org/about.html und http://www.blocklist.de/de/download.html
 
Last edited by a moderator:
Hallo,

Es gibt dafür spezielle RBL Listen die man Abfragen kann.

Unter : http://multirbl.valli.org/lookup/ findest du eine Übersicht.
Neben den typ. Antispamlisten sind da auch welche dabei die die Abuseemailaddresse zu einer IP anzeigen.

Beispiele sind:
contacts.abuse.net
abuse-contacts.abusix.org
 
Ich wuerde dir folgendes Projekt vorschlagen fuer dein Fail2ban Problem:

- blocklist.de

Ein guter Freund von mir betreibt dieses Projekt und kuemmert sich auch um das automatische Versenden der Abuse-Mails.

Solltest du Hilfe dazu benoetigen kannst du dich direkt an blocklist.de oder mich wenden.

Ich selber mache dort auch mit und muss mich nicht mehr um die Faelle kuemmern, da die Abuse-Mails auch in einem ordentlichen Format an die jeweiligen Abuse-Abteilungen gesendet werden.
 
Wenn man da nicht selber bei den Providern irgendwann auf der Blackliste landet... :rolleyes:
Falls du dort zu übermotiviert bist, und am Tag dann 300-400 Abuse-Mails verschickst, prophezeihe ich dir, dass nach allerspätestens einer Woche die Hälfte der Mails als dauerhaft unzustellbar zurückkommt, weil die Provider dich entsprechend geblockt haben.
 
Danke übrigens für eure Hilfe :) sowas wie Blacklisted.de war genau das was ich gesucht/gemeint habe. Ich muss zugeben ich hätte genauer sagen sollen das ich praktisch die Erweiterung/Dienst suchte der dieses macht. Das sowas natürlich über whois oder ripe z.b. rausfindbar ist, ist mir natürlich klar und das man dort die entsprechenden Abuse Mails i.d.R findet ;)

@Lord Gurke
Naja wegen 300 - 400 Mails wird man eher nicht geblacklistet, außer wenn dann z.B. viele garnicht verteilt werden kann wegen z.B. "unknow user" sprich an keine exestenten Email Accounts verschickt oder ähnliches. Ich hatte die Tage mich auch um ein paar Kunden gekümmert die schicken Newsletters raus in der größen Region 100.000+ Mails in 1-2 Tagen die hatten natürlich Probleme weils Jahre alte Email adressen waren (Email Adresse exestierten nicht mehr) und diese ohne Begrenzung rausgefeuert wurden praktisch bis der Server fast zum Stillstand kam.

Eine Verzögerung auf maximal 500-1000 Mails pro Stunde und PHPlist zum filtern von z.B. nicht mehr exestenten Email Adressen. Jetzt brauchen die zwar nen paar Stunden länger, aber müssen nicht mehr nach jedem Newsletter sich mit GMX , Spamhaus und Konsorten auseinander setzen ;)
 
Ich meinte auch mehr, dass du nicht wegen zwei fehlgeschlagenen Logins oder einer Spam-Mail sofort eine Abuse-Mail schreibst ;)
 
Das stimmt schon mehr oder weniger, bei mir reichen 5x falsche Logins für das reagieren von Fail2Ban. Theoretisch ist hiervon jeder etwas wo was "böses" hinter steckt, somit kommen schon täglich 10-200 Stück bei meinen eigenen Servern zusammen. Was natürlich schon ne kleine menge wäre. Im Prinzip steckt hinter jedem etwas "böses" allerdings wie bedrohlich dies nun ist, ist natürlich so schlecht nachvollziehbar.

Ist natürlich etwas trivial. Ich muss sagen, was bei uns an Abuse kam bezüglich fail2ban war am ende schon heftig. Ein Server der seit rund 1 Jahr permanent SSH und Emailserver gebrutforcet hat und das nicht nur mit 10 oder 50 verschiedenen versuchen, sondern Stunden/Tagelang auf ein und die selbe IP und dann einfach irgendwann wieder wechselte auf die nächste IP. Ist nur unseren Kunden nur nie aufgefallen und den Zielrechnern scheinbar auch nicht. Allerdings bei so einer Masse denke ich sollte man sowas nicht mehr frei rumlaufen lassen ;)
 
Bei blocklist.de wird nur einmal am Tag eine Abuse-Mail generiert die dann gesammelt an den Provider geht.
 
Hi @all,
Ich meinte auch mehr, dass du nicht wegen zwei fehlgeschlagenen Logins oder einer Spam-Mail sofort eine Abuse-Mail schreibst ;)
ab welcher Anzahl ein Report von Fail2Ban erstellt wird, kann ja der Admin selbst einstellen.
Bei uns werden die Attacken dann noch auf bestimmte Merkmale geprüft, ob überhaupt alle benötigten Daten vorhanden sind usw.
Wenn der Angriff verarbeitet werden kann, so senden wir pro IP nur alle 24 Stunden einen X-ARF-Report, den der Empfänger automatisch verarbeiten kann.
Die Provider haben auch die Möglichkeit die Reports zu stoppen oder für 7 Tage zu pausieren.

Wenn man da nicht selber bei den Providern irgendwann auf der Blackliste landet...
Diese Provider sind dann an einem sauberen Netz nicht interessiert (wovon es leider viele gibt).
Bisher haben wir nur mit zwei sehr kleinen Providern negative Erfahrung gesammelt. Alle anderen sind dankbar darüber, das sie so sehen können, welche Server/PC's infiziert sind, bzw. ihr Netz missbrauchen.

P.S. gmx blockiert bei zu vielen "Unknown User"-Meldungen die IPs einfach für mehrere Stunden bis Tage :)
 
Oh, der Chef persoenlich hat sich zu Wort gemeldet. :)

@blocklist: kann dir nur voll zustimmen und mache hierdurch die User auf dein Projekt aufmerksam.
 
Hi,

<OT>

Irgendwie kann ich mir nicht vorstellen,
dass diese Einträge automatisch reingekommen sind:

Code:
192.251.226.0
192.251.226.1
192.251.226.2
..
192.251.226.254
192.251.226.255
192.251.226.205

Das alle IPs eines kompletter Class C bei der "geringen (bitte nicht falsch verstehen)" Anzahl von Meldern aufschlägt ist sehr komisch. Auch das die 205 2 Mal drinsteht und die 0 sowie 255 in einem - als Class C allokiertem Netz - verwendet werden ....


PS: Ich arbeite nicht bei Telefonica. Ist mir nur aufgefallen....

</OT>
 
Last edited by a moderator:
Hi cosimo,
ja, das Netz ist manuell und dauerhaft eingetragen, da der Netzinhaber keine Reports wünscht und nicht möchte, das wir seine E-Mailadresse zur Sperrung speichern.
Daher bleibt nur die Lösung alle IP-Adressen des Netz dauerhaft zu sperren und auszuschließen :-(

Wir können leider Reports nur für E-Mailadressen deaktivieren und müssen die E-Mailadresse dazu in unserer Report-Blacklist speichern, sonst wissen wir ja nicht, ob die Abuse-Adresse Reports möchte oder nicht.
 
Hi,

Danke für die Erklärung,

Dann solltet ihr wenigstens noch ein uniq drüberwerfen. Machen Firewalls bereitet es Probleme wenn IPs doppelt drinstehen.
 
Danke für den Hinweis.
Ist ausgebessert. (ist nur bei der Export-Liste durch das manuelle einfügen geschehen. Bei den anderen Listen, ist alles unique) :)
Falls es sonst noch Verbesserungsvorschläge oder wünsche gibt, immer her damit.

Mfg Martin
 
Last edited by a moderator:
sorry, dass ich den alten Thread auskrame.

Meine Frage, wird Blocklist.de noch betreut oder ist da Schluss?
 
Hallo,

ja, es wird immer wieder optimiert und Wünsche umgesetzt.

Aktuell arbeiten wir daran das System auf neue Server umzuziehen, da ein Upgrade aufgrund der vielen Anpassungen nicht möglich ist. Das wird aber noch einige Monate dauern, bis alles umgezogen und umgestellt ist.

Blog-Einträge gibt es zwar selten, aber wir versuchen es zumindest mal alle 3 bis 6 Monate was zu veröffentlichen.

Ansonsten, das System selbst läuft ohne Probleme und braucht nur selten Eingriffe oder Wartungen :)
 
Back
Top