Reportar abusos de Fail2ban a AbuseIPDB

Reportar abusos de Fail2ban a AbuseIPDB.

Fail2ban es una herramienta programada en Python, cuya principal función es la prevención de intrusos en un sistema o servidor.

Fail2ban bloquea las conexiones remotas que intentan acceder a tu sistema por fuerza bruta. Para su correcto funcionamiento, es necesario que el servidor cuente con  un sistema de control de paquetes o firewall, por ejemplo iptables.

AbuseIPDB es un proyecto gestionado por Maratón Studios Inc, que se compromete a mantener el correcto funcionamiento del sitio AbuseIPDB, a la vez que una disponibilidad totalmente gratuita, de manera que cualquier usuario, webmaster, sysadmin o empresa, puedan  aportar su actividad maliciosa de sitios web, de la misma forma que extraerlos.

Después de esta pequeña explicación, vamos a ver como reportar abusos sobre las IP’s bloqueadas por Fail2ban a AbuseIPDB, lo haremos de forma que se envíen automáticamente a AbuseIPDB con su correspondiente reporte.

En este manual… ya damos por hecho que tienes instalado Fail2ban, así que nos saltamos este paso.

 

Accede a AbuseIPDB y obtén la API

Para poder reportar abusos de Fail2ban a AbuseIPDB debes estar registrado en Abuse, pues para conseguir el propósito de este tutorial necesitamos la “API KEY“, que abuse nos proporciona.

Accedemos a nuestra cuenta.

 

Una vez en nuestra cuenta hacemos click en “API Settings“, nos aparecerá la pantalla de la API, puedes apuntar la misma o regenerar una nueva.

 

Guárdala a buen recaudo y proseguimos, que ahora vamos a por Fail2ban.

 

Configurar Fail2ban para reportar abusos

Accede a tu servidor mediante ssh y como root.

En el directorio de acciones de Fail2ban crearemos un nuevo archivo llamado “abuseipdb.conf“.

Ahora copiamos y pegamos lo siguiente en el archivo “*.conf” que estamos creando. No te olvides de colocar la API Key de AbuseIPDB que guardamos antes, justo al final del código.

Guarda y cierra el editor.

Seguimos…

 

Debemos editar el archivo “jail.local” de manera que agregamos la nuevas acciones y definiciones.

Debajo de las acciones definidas (por ejemplo: action_mw)  debes copiar y pegar lo siguiente ) puedes configurar más acciones por categoría):

En el mismo archivo “jail.local”, ya puedes definir las reglas como te indico, por ejemplo:

Puedes guardar, cerrar el editor y reiniciar Fail2ban. Hemos terminado.

 

Ampliación del articulo

Numeración y explicación de más acciones por categoría, de las que definimos anteriormente en el jail.local.

ID Title Description
3 Fraud Orders Fraudulent orders.
4 DDoS Attack Participating in distributed denial-of-service (usually part of botnet).
5 FTP Brute-Force
6 Ping of Death Oversized IP packet.
7 Phishing Phishing websites and/or email.
9 Open Proxy Open proxy, open relay, or Tor exit node.
10 Web Spam Comment/forum spam, HTTP referer spam, or other CMS spam.
11 Email Spam Spam email content, infected attachments, phishing emails, and spoofed senders (typically via exploited host or SMTP server abuse). Note: Limit comments to only relevent information (instead of log dumps) and be sure to remove PII if you want to remain anonymous.
12 Blog Spam CMS blog comment spam.
13 VPN IP Conjunctive category.
14 Port Scan Scanning for open ports and vulnerable services.
15 Hacking
16 SQL Injection Attempts at SQL injection.
17 Spoofing
18 Brute-Force Credential brute-force attacks on webpage logins and services like SSH, FTP, SIP, SMTP, RDP, etc. This category is seperate from DDoS attacks.
19 Bad Web Bot Webpage scraping (for email addresses, content, etc) and crawlers that do not honor robots.txt. Excessive requests and user agent spoofing can also be reported here.
20 Exploited Host Host is likely infected with malware and being used for other attacks or to host malicious content. The host owner may not be aware of the compromise. This category is often used in combination with other attack categories.
21 Web App Attack Attempts to probe for or exploit installed web applications such as a CMS like WordPress/Drupal, e-commerce solutions, forum software, phpMyAdmin and various other software plugins/solutions.
22 SSH Secure Shell (SSH) abuse. Use this category in combination with more specific categories.
23 IoT Targeted Abuse was targeted at an “Internet of Things” type device. Include information about what type of device was targeted in the comments.
8 Fraud VoIP

 

Vemos la diferencia entre las IP reportadas de manera manual, a las que reporta automáticamente Fail2ban.

 

Manual:

 

Automático con Fail2ban:

 

Con estos ejemplos concluimos este articulo.

 

Reportar abusos de Fail2ban a AbuseIPDB
4.6 (92%) 5 Votos

3 Comentarios

  1. Benjamín Garzón
    25/10/2018
    • sololinux
      25/10/2018
      • Benjamín Garzón
        26/10/2018

Agregar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.