Spammer, Spider & Leecher mittels Fail2ban aussperren
Geschrieben am 14. August, 2007 von Metty 
Loading ...
Abgelegt unter: Eine recht einfach Methode viel von dem Gesindel vom eigenen Server, bzw. den Webseiten darauf abzuhalten bietet Fail2ban.
Über Fail2ban habe ich ja schon des öfteren geschrieben
Fail2ban bringt von Haus aus schon eine recht nette “Badbots-Liste” für den Apachen mit:
badbots = atSpider/1\.0|autoemailspider|China Local Browse 2\.6|ContentSmartz|DataCha0s/2\.0|DataCha0s/2\.0|DBrowse 1\.4b|DBrowse 1\.4d|Demo Bot DOT 16b|Demo
Bot Z 16b|DSurf15a 01|DSurf15a 71|DSurf15a 81|DSurf15a VA|EBrowse 1\.4b|Educate Search VxB|EmailSiphon|EmailWolf 1\.00|ESurf15a 15|ExtractorPro|Franklin Loc
ator 1\.8|FSurf15a 01|Full Web Bot 0416B|Full Web Bot 0516B|Full Web Bot 2816B|Industry Program 1\.0\.x|ISC Systems iRc Search 2\.1|IUPUI Research Bot v 1\.9
a|LARBIN-EXPERIMENTAL \(efp@gmx\.net\)|LetsCrawl\.com/1\.0 +http\://letscrawl\.com/|Lincoln State Web Browser|LWP\:\:Simple/5\.803|Mac Finder 1\.0\.xx|MFC Fo
undation Class Library 4\.0|Microsoft URL Control - 6\.00\.8xxx|Missauga Locate 1\.0\.0|Missigua Locator 1\.9|Missouri College Browse|Mizzu Labs 2\.2|Mo Coll
ege 1\.9|Mozilla/2\.0 \(compatible; NEWT ActiveX; Win32\)|Mozilla/3\.0 \(compatible; Indy Library\)|Mozilla/4\.0 \(compatible; Advanced Email Extractor v2\.x
x\)|Mozilla/4\.0 \(compatible; Iplexx Spider/1\.0 http\://www\.iplexx\.at\)|Mozilla/4\.0 \(compatible; MSIE 5\.0; Windows NT; DigExt; DTS Agent|Mozilla/4\.0
efp@gmx\.net|Mozilla/5\.0 \(Version\: xxxx Type\:xx\)|MVAClient|NASA Search 1\.0|Nsauditor/1\.x|PBrowse 1\.4b|PEval 1\.4b|Poirot|Port Huron Labs|Production B
ot 0116B|Production Bot 2016B|Production Bot DOT 3016B|Program Shareware 1\.0\.2|PSurf15a 11|PSurf15a 51|PSurf15a VA|psycheclone|RSurf15a 41|RSurf15a 51|RSur
f15a 81|searchbot admin@google\.com|sogou spider|sohu agent|SSurf15a 11 |TSurf15a 11|Under the Rainbow 2\.2|User-Agent\: Mozilla/4\.0 \(compatible; MSIE 6\.0
; Windows NT 5\.1\)|WebVulnCrawl\.blogspot\.com/1\.0 libwww-perl/5\.803|Wells Search II|WEP Search 00
Diese Liste lässt sich nach belieben anpassen und erweitern.
Muss ich bei Zeiten mal machen.
In der jail.conf einfach die Zeilen auf die Logs vom Apachen anpassen:
[apache-badbots]
enabled = true
filter = apache-badbots
action = iptables-multiport[name=BadBots, port="http,https"]
mail[name=BadBots, dest=abuse@.....de]
<strong>logpath = /srv/www/vhosts/*/statistics/logs/access_log</strong>
bantime = 172800
maxretry = 1Fail2ban neu starten und man braucht nur ein wenig zuwarten und ist erstaunt wieviele eMails doch eintrudeln, sprich IPs gesperrt werden.
Einfach & effetiv!
Stichworte: |
|
Ähnliche Beiträge |
Trackback-Url 
|
[...] in der heutigen Zeit einsetzen muss und wieviel Zeit dafür draufgeht. Aktiv setze ich momentan Fail2Ban und QMail-Greylisting [...]
[Spam] Spam nimmt wieder zu…
Ich muss seit ein paar Tagen festellen das der Kommentar- / Trackbackspam wieder sehr zunimmt.
Derzeit sind es mal wieder roundabout 50 Stück pro Tag welche Akismet verlässlich abfängt.
Mit dem Update auf WordPress 2.3 hatte ich auf de…
fail2ban nun auch für Apache_log…
Gerade ist die Scripterei rund um die Attacken gegen den rootserver von Erfolg gekrönt,da habe ich mal meine bereits seit Anfang an bestehende fail2ban Konfiguration überarbeitet. Das Apache_log ist per Debian default in der fail2ban.conf so einges…
Wie kann ich mit Fail2ban das Controll-Panel Plesk, welches auf Port 8443 läuft schützen? Vielen Dank im vorraus…
Am besten einen neuen Filter anlegen: Plesk_Apache, den Inhalt eines bestehenden Filters, zb den von den vorhandenen Apache-Filtern, den Regex evt anpassen.
Den Filter dann in der jail.conf aufrufen mit entsprechendem Logfilepfad
Danke für Deine Antwort … Wo speichert Plesk die Logfiles, oder wie bekomme ich sie raus?
Bei meinen Servern liegen sie in /usr/local/psa/admin/logs
Bei weiteren Fragen, einfach melden
Kannst Du mir vielleicht ein Beispiel nennen, wie so ein Filter aussehen sollte?
@Webagentur: Du findest die Filter in /etc/fail2ban/filter.d
Einfach z.B. mal ein paar von denen Anschauen, sollte eigentlich recht einfach zu verstehen sein.
OK, danke … ich habe die Filter mir bereits angeschaut, aber irgendwie werde ich mit den Ausdrücken dort nicht schlau. Gibt es irgendwo ein Tutorial, wo man den Umgang mit den Filtern erklärt bekommt?
Vielen Dank.
Hallo.
Genau vorkauen kann ich dir das nicht. Du musst auf jeden fall erstmal wissen was genau Du mit fail2ban verhindern möchtest. Loginversuche in Plesk? Generelle “Angriffe” auf den Apachen? BadBots aussperren?
Sonderlich schwer ist das nicht, einfach die Konfigurationsdateien von fail2ban mal intensiv durchsehen. Würde zwar gerne helfen, weiss aber nicht wirklich wie im Moment, weil wegen Zeit. Aber vielleicht wenn Du mal genau sagst was geschützt werden soll, vielleicht bastle ich das ja für mich und gebe es Dir dann natürlich
Hallo,
ich möchte das nach 3 falschen Loginversuchen im Plesk die IP des Nutzers gesperrt wird. Habe mir die Konfigurationsdateien mal angeschaut, aber sonderlich schlau werde ich daraus nicht.
Ich habe mir das gerade erstmal genauer angeschaut, sprich in die Logs rein. So wie das aussieht werden diese Fehlversuche in Plesk garnirgends irgendwo geloggt, evt. nur in die DB geschrieben. Eine zeitliche Sperre gibt es wohl.
Mal schauen ob ich noch was rausfinden kann.
Hallo,
hattest Du schon etwas rausbekommen? Würde mich mal sehr interessieren. Danke!
Hallo … ich hänge immer noch an diesem Problem. Was rausgefunden hattest Du wahrscheinlich auch noch nichts, oder?
@Webagentur: Sorry das ich jetzt erst antworte.
So wie ich das sehe ist da nichts mit fail2ban möglich, da Plesk die fehlegeschlagenen Logins nur in die Datenbank schreibt, aber in kein Logfile was sich mit fail2ban auslesen lassen würde.
Da müsste man irgendwas anderes finden, aber keine Ahnung was.
Man könnte Plesk zusätzlich mit .htaccess & .htpasswd schützen.
Danke, und wie genau kann man das per .htaccess & .htpasswd machen? Wenn man eine feste IP hätte könnte man z.B. mit IPTABLES anfragen an den Port 8443 nur von dieser IP aus gestatten.
Soderle.
Als Internetagentur oder Webagentur solltest Du Dich schon mit sowas bestens auskennen
Mal ne Frage, wie viel RAM verbraucht bei euch fail2ban?
Ich hab die etch version sowie die backports 0.8.3 er auf nem Debian etch installiert und es verbraucht 60mb in meiner config, mit der standard config immer noch 30mb? nur fürs log durchschauen find ich das ein wenig viel? wie ist das bei euch, und woran könnte der hohe verbrauch liegen?
gruß hackbard
@hackbard: Aktuell 147072, müssten dann 147mb sein? So pi mal Daumen.
Finde ich nicht sonderlich viel, wenn ich bedenke das er ein * auf alle Logs der Vhosts hat
[...] gibt auch Scripte, die Spider und Bots aussperren. Allerdings sind auch diese Projekte teilweise lange nicht gepflegt [...]