Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

писать письмо на abuse при получении уведомления от fail2ban

1

Регестрирую сильное увеличение атак на asterisk сервера последние месяцы. И это при внесении в firewall подсетей всех стран с котороми мы не работаем (США, Китай, ...). Так блин атакуют даже с hetzner сетей. Когда-то взломали мой web сервер в USA и разместили там какого-то робота который куда-то там конектился по ФТП. Через какое-то время мой провайдер получил жалобу и сразу же перенаправил ее мне с условием, что если я ничего не сделалаю, то - гудбай мой аккаунт. Ну и пришлось искать проблему менять пароли и т.д.

Есть идея прикрутить к Fail2Ban скрипт, чтобы слал не только предупреждение хозяину сервера, а и на abuse владельца сети с которой идут атаки с кусками логов и т.д.

Что скажете? Есть смысл? Есть ли у кого-то шаблон (форма) для правильной abuse жалобы?

удалить закрыть спам изменить тег редактировать

спросил 2012-05-21 12:10:53 +0400

alphil Gravatar alphil flag of Spain
520 11 5 16
http://www.damal.es/

3 Ответа

0

"правильная" abuse жалоба выглядит так

Hi
we just noticed DoS atack from you ip IP_HERE.
Type of atack:
  UDP SIP, port 5060.

log of attack:

тут должен быть лог пакетов. да. в логе должно хорошо просматриваться время, ваш адрес и адрес с которого идет атака.

ссылка удалить спам редактировать

ответил 2012-05-21 12:34:08 +0400

meral Gravatar meral flag of Ukraine
23347 24 20 177
http://pro-sip.net/

обновил 2012-05-21 12:35:23 +0400

Comments

возьму за пример ;-)), надеялся что есть какие-то типовые формы

alphil ( 2012-05-21 17:27:59 +0400 )редактировать
0

В инструментарии fail2ban есть папка action.d , где Вы можете описывать свои действия на появления событий. Для примера посмотрите на action.d/sendmail-whois.conf , чтобы понять как добавлять свои собственные механизмы.

ссылка удалить спам редактировать

ответил 2012-05-21 13:16:37 +0400

zzuz Gravatar zzuz flag of Russian Federation
7174 2 6 75
http://line24.ru/

Comments

механизм мне понятен, я спрашиваю мнение сообщества, стоит ли это делать, делал ли кто-либо, неужели никому раньше не пришло в голову сделать так ?

alphil ( 2012-05-21 17:26:23 +0400 )редактировать

Да. Делали. В голову приходило еще несколько лет назад.

zzuz ( 2012-05-21 20:00:26 +0400 )редактировать

ясно, тогда тоже буду делать.

alphil ( 2012-05-21 20:28:27 +0400 )редактировать
0

Собственно говоря в папке action.d уже был файл complain.conf который нужно было только подправить. Получился вот такой вот новый файл, который называем complain-asterisk.conf. Меняем переменную sender (последняя строчка) на тот мэйл от которого вы хотите отправлять это письмо. Добавляем в файл jail.conf в раздел который контролирует лог астериска в action = complain-conf, перегружаем fail2ban и смотрим как реагируют провайдеры которые начнут получать ваши письма. Рекомендую, для начала, потестировать на себе, заменить $ADDRESSES на свой mail.

[Definition]
actionban = ADDRESSES=`whois <ip> | perl -e 'while (<STDIN>) { next if /^changed|@(ripe|apnic)\.net/io; $m += (/abuse|trouble:|report|spam|security/io?3:0); if (/([a-z0-9_\-\.+]+@[a-z0-9\-]+(\.[[a-z0-9\-]+)+)/io) { while (s/([a-z0-9_\-\.+]+@[a-z0-9\-]+(\.[[a-z0-9\-]+)+)//io) { if ($m) { $a{lc($1)}=$m } else { $b{lc($1)}=$m } } $m=0 } else { $m && --$m } } if (%%a) {print join(",",keys(%%a))} else {print join(",",keys(%%b))}'`
        IP=<ip>
            if [ ! -z "$ADDRESSES" ]; then
                (printf %%b "<message>\n"; date '+Note: Local timezone is %%z (%%Z)'; grep '<ip>' <logpath>) | <mailcmd> "Abuse from <ip>" -r <sender> $ADDRESSES <sender>
            fi
[Init]
message = Dear Sir/Madam,\n\nWe have detected abuse DoS atack (UDP SIP, port 5060) from the IP address $IP to our server XXX.XXX.XXX.XXX, which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate.\n(If you are not the correct person to contact about this please accept our apologies - your e-mail address ($ADDRESSES) was extracted from the whois record by an automated process.)\n\nThanks & Best Regard\n\nLog lines are given below, but please ask i you require any further information.

logpath = /var/log/asterisk/messages
mailcmd = mail -s
sender = YourOrganization<aaa@bbb.tld>
ссылка удалить спам редактировать

ответил 2012-05-23 01:31:17 +0400

alphil Gravatar alphil flag of Spain
520 11 5 16
http://www.damal.es/

Comments

Вопрос только в том , зачем это провайдеру. Атака то на сервер , на котором fail2ban .

zzuz ( 2012-05-23 01:57:49 +0400 )редактировать

Письмо отсылается на ящикб который фигирируется как abuse той сети откуда пришла атака. Если меня атакуют с сети hetzner то это письмо получит abuse@hetzner.de

alphil ( 2012-05-23 15:56:52 +0400 )редактировать

ripn в прошлом году разрешил скрывать информацию о домене . На моей практике 60-70% таких адресов без информации whois .

zzuz ( 2012-05-23 16:01:26 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку
1 закладка

подписаться на rss ленту новостей

Статистика

Задан: 2012-05-21 12:10:53 +0400

Просмотрен: 1,065 раз

Обновлен: May 23 '12

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.