Fail2Ban und Blocklist.de

P

pl-con

New Member
Hallo,

Betreibe seit einigen Jahren Server, welche bisher mittels Fail2ban ziemlich viele Angriffe gut abwehren konnten.

mit jedem Fehlversuch wurden IP Adressen ausgesperrt, was den Server so einigermaßen sicher machte.

Nun habe ich blocklist.de gefunden, diesen Dienst möchte ich via Plesk einbinden.

hat hier jmd bereits Erfahrungen gemacht und kann mir einen Tipp geben, wie dieses funzt?

Freue mich über jede Antwort.

Gruß an alle
 
Für Plesk 9.x hatte ich mal einen Filter gebaut. Dabei waren die fehlgeschlagenen Logins anhand der Bytezahl nach dem HTTP Code in der Access Log zu erkennen. Ggf. funktioniert es ja noch mit Plesk 11.x oder was heutzutage aktuell ist.

/etc/fail2ban/filter.d/plesk.conf
Code: 
# Fail2Ban configuration file
# $Revision: 1
#

[Definition]

# Option:  failregex
# Values:  TEXT
#
#XX.XX.XX.XX XX.XX.XX.XX:8443 - [08/Jul/2012:10:49:37 +0200] "POST /login_up.php3 HTTP/1.1" 200 6646 "-" "-"
failregex = <HOST> .* \"POST /login_up.php3 .*\" [0-9]{3} [0-9]{4} .*$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

/etc/fail2ban/jail.conf
Code: 
[pleskpanel]

enabled  = true
filter   = plesk
action   = iptables-multiport[name=plesk, port="8443,8880,12443", protocol=tcp]
logpath = /usr/local/psa/admin/logs/httpsd_access_log
maxretry = 3

Gruß,
Nero
 
Moin Nero,

vielen Dank für Deine Antwort...

Ich möchte jedoch grundsätzlich (wenn möglich) alle IP-Adressen, die bei Blocklist.de gelistet sind, von meinem Server verbannen...

Die Mails sind mittlerweile teilweise vorkonfiguriert, deine Mail ist gut, blockt aber somit die IP-Adressen, die Fehlversuche beim Login verursachen.

Ich möchte alle bei Blocklist.de gelisteten IP-Adressen komplett aussperren...

Gruß und Frohe Weihnachten

Pelo
 
You must log in or register to reply here.
Back
Top