AbuseIPDB – Mit fail2ban böse IPs melden

Wer einen Server im Internet betreibt, wird mit Sicherheit schon festgestellt haben, das viele – total unbekannte – Personen andauernd versuchen, sich auf dem Server anzumelden.
Egal wie, egal zu welcher Uhrzeit, egal auf welchen Dienst. Alles wird probiert.
Dagegen schützt immerhin in der Linux-Welt das Tool fail2ban.
Aber wäre es nicht noch cooler, wenn wir diese Eindringlinge automatisiert an eine Datenbank melden könnten, damit andere sich gegen diese Ips auch schützen kann?

AbuseIPDB ist eine Plattform, welche IP-Adressen von böswilligen Angreifern sammelt und in einer Datenbank speichert und auswertet.
Wir können dabei helfen, diese Datenbank zu befüllen. Komplett kostenlos.
Wer allerdings die Daten aus der Datenbank haben möchte, um sein Server zu schützen, muss leider zahlen.

Wie wir Ips melden können, zeige ich dir hier.
Der Vorteil ist, das fail2ban die AbuseIPDB-Schnittstelle bereits mit im Gepäck hat.

Da je nach eingesetzter Distribution eine alte Konfigurationsdatei in Fail2Ban ist, weicht diese Anleitung der „Standardinstallation“ etwas ab.

Was brauchen wir?
– Fail2Ban auf unserem Server
– Einen Account bei AbuseIPDB (kostenlos)
– Einen API-Key bei AbuseIPDB*
– Root-Zugang zu unserem Server

*Die kostenlose API-Schnittstelle ist auf 1000 Meldungen pro Tag limitiert. Wer mehr braucht, muss entweder ein Werbebanner (siehe unten) auf einer Homepage einbinden, dann gibt es 3000 Meldungen pro Tag oder eben zahlen.

So richten wir AbuseIPDB ein:

1. Lege dir einen kostenlosen Account bei AbuseIPDB an
2. Gehe auf „API“ und lege dir ein neuen API-Key an
3. Logge dich auf deinem Server via SSH ein
4. Lösche die aktuelle abuseipdb.conf Datei

# rm /etc/fail2ban/action.d/abuseipdb.conf

5. Lade die aktuellste Config herunter

# wget https://raw.githubusercontent.com/fail2ban/fail2ban/master/config/action.d/abuseipdb.conf -qO /etc/fail2ban/action.d/abuseipdb.conf

6. Öffne die Datei mit einem Editor deiner Wahl

# nano /etc/fail2ban/action.d/abuseipdb.conf

7. Füge ganz unten dein API-Key von AbuseIPDB ein und speichere die Datei ab

abuseipdb_apikey = DEIN API-Schlüssel hier eintragen

8. Öffne nun die jail.conf bzw. jail.local mit einem editor

# nano /etc/fail2ban/jail.conf

9. Suche nach dem SSH-Login [sshd]
10. Füge folgenden Code zur Regel dazu:

# Meldung an AbuseIPDB
action = %(action_)s
%(action_abuseipdb)s[abuseipdb_apikey="API-KEY", abuseipdb_category="18,22"]

» Füge bei API-KEY deinen Key von AbuseIPDB ein
» Editiere bei Bedarf die Kategorien
11. Speichere die Datei ab und starte fail2ban neu

Du kannst nun den Action-Befehl auch bei anderen Prüfmethoden hinzufügen.
Du solltest aber dann definitiv die passenden Kategorien angeben.
Alle Kategorien findest du HIER.
Bedenke, das pro weitere Prüfung eine API-Abfrage stattfindet.

Wir sind fertig!
Du kannst nun zusehen, wie IP-Adressen automatisch gemeldet werden.
Über deine Profilansicht siehst du auch, was du bereits gemeldet hast.


Dieses Bild hier sorgt dafür, dass ich bis zu 3000 böse IPs pro Tag melden kann:
AbuseIPDB Contributor Badge
AbuseIPDB Contributor Badge

Wenn du wissen möchtest, was mein Server alles so gemeldet hat, kannst du auf das Bild drücken.


Tipp: Hast du mehrere Server und möchtest kostenlos IPs melden? Lege dir einfach mehrere Accounts an. Wenn du Domains zur Validierung benötigst, nutze z.B. kostenlose Domains wie die .tk-Domains.
Tipp 2: Hast du mehrere Server und möchtest diese effektiver schützen, lege mit fail2ban eine eigene lokale Datenbank an und lass diese auf alle Server synchronisieren. Das kostet am Ende des Tages nur etwas Internetsucharbeit und ein paar Minuten/Stunden, um ein Script zu erstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.