Zur Navigation

AbuseIPDB

1 Jan

Hallo Jörg,

Danke nochmals für deinen Tipp hier zur DB.

Eine manuelle Eingabe ist dort ja auch möglich, sofern man kein Fail2Ban verwenden kann ... aber mit ziemlichem Zeitaufwand verbunden ;-)

Der Bulk-Report wäre da noch interessant.

Dafür müsste ich doch wohl nur z.B den Zugriff auf wp-login auf ein PHP-Script umleiten und dort die Daten speichern und sammeln.

Im Script wohl ungefähr so

($_SERVER['REMOTE_ADDR']),"18",($_SERVER["REQUEST_TIME"]),"client denied by server configuration: .../wp-login.php"

Alternativ könnte man wohl auch die access_log nehmen und von allen Einträgen außer wp-login befreien und die jeweiligen Einträge noch etwas anpassen ...

Einfacher wäre es da schon wenn man das Aussehen des Apache-Log selber vorgeben kann, leider habe ich da keinen Zugriff :-(

Was meinst du ... da wäre doch ein Script zu Speicherung der einzelnen Zugriffe die einfachere Möglichkeit, oder?

Oder kennst du da bereits ein nutzbares Script? Ich schau mir das jedenfalls noch genauer an. Heute habe ich allerdings erstmal knapp 100 IPS manuell eingetragen ;-) Mache ich aber sicher nicht oft ;-)

Mit freundlichen Grüßen - Jan

01.03.2023 20:27

2 Jörg Kruse

Im Netz finden sich unter den Suchbegriffen "abuseipdb bulk script" einige Python- oder Bash-Scripte.

Ich selber würd mir aber, abgesehen von einer einfachen Einbindung wie über Fail2ban, nicht die Mühe machen. Der Aufwand steht m.E. nicht im Verhältnis zum Ergebnis, dass AbuseIPDB über ein paar Reports mehr verfügt, die nach einer gewissen Zeit auch wieder veraltet sind. Ausnahmsweise würde ich einen manuellen Report vielleicht bei einzelnen IP-Adressen absetzen, die über einen längeren Zeitraum wirkliche Probleme bereiten.

02.03.2023 10:07

3 Jan

Hallo Jörg,

mein Script konnte ich mir dann inzwischen doch zusammenbasteln ;-)

Ausnahmsweise würde ich einen manuellen Report vielleicht bei einzelnen IP-Adressen absetzen, die über einen längeren Zeitraum wirkliche Probleme bereiten.

Seit über 1 Monat sammele ich die Daten und da sind jede Menge IPs die so gut wie täglich zugreifen, mache lediglich 1-2 mal, viele allerdings auch bis zu 20x. Manche kommen nur monatlich, manche im Wechsel von ein paar Tagen ...

Wie würde man wohl darüber denken wenn täglich diese "Besuche" vor der eigenen Haustür stattfinden würden um zu testen ob man ins Haus rein kommt? ;-) Würde man es dann wirklich nur dabei belassen das Verbotsschild vor die Tür zu hängen? ;-)

Mit freundlichen Grüßen - Jan

03.03.2023 13:02

4 Jörg Kruse

Um mal bei diesem Bild zu bleiben:

Wenn die Tür nicht gebraucht wird, dann sollte sie zugemauert werden (Schließen des Ports). Wenn sie benötigt wird, dann sollte sie so abgesichert werden, dass nur Befugte hindurchgehen können (Zugriffskontrolle). Ein Verbotsschild an der Tür wäre vergleichbar mit der robots.txt Datei, die einigen oder allen Bots den Zugriff auf bestimmte Verzeichnisse und Dateien untersagt. Wirkungsvoll verhindern kann dieses Verbot einen unbefugten Zutritt aber nicht - dies kann nur eine effektive Zugangskontrolle. Auch das Melden von versuchten Einbrüchen an eine andere Stelle verhindert diese nicht.

client denied by server configuration: .../wp-login.php

Wenn das im Logfile steht, dann wurde der unerwünschte Zugriff durch den Webserver effektiv unterbunden. Das Augenmerk würde ich eher auf unerwünschte erfolgreiche Zugriffe lenken, z.B. Zugriffe unbekannter IP-Adressen auf die wp-login.php, die mit einem Status Code 200 beantwortet wurden (wenn diese durch die .htaccess Datei eigentlich geschützt sein sollte)

03.03.2023 22:07 | geändert: 03.03.2023 22:15

5 Jan

Hallo Jörg,

Auch das Melden von versuchten Einbrüchen an eine andere Stelle verhindert diese nicht.

Es würde aber mit Sicherheit die Anzahl der unerwünschten Besucher einschränken. Sie wurden erkannt, ermahnt (mehrfach) und sollten dann im Wiederholungsfall auch Konsequenzen tragen ;-)

Da wir uns aber der Technik immer weiter ausliefern (Oh da ist ja ein Einbrecher am Werke ... schnell ein Beweisfoto von der Person machen .... Ops - das darf ich ja gar nicht ohne die Zustimmung des Einbrechers! ... lass ich ihn halt weiter versuchen bis es mal geklappt hat. Ja und dann ... dann schreiten wir ein. Oder auch nicht ... das war doch nur ein harmloser Einbruch, der wollte sich doch nur mal die Wohnung von innen ansehen. ;-)

Besser das Haus erst gar nicht bauen! Selber schuld wenn man andere dadurch erst in Versuchung bringt eindringen zu wollen!

;-)

Mit freundlichen Grüßen - Jan

04.03.2023 12:12

6 Jörg Kruse

Es würde aber mit Sicherheit die Anzahl der unerwünschten Besucher einschränken. Sie wurden erkannt, ermahnt (mehrfach) und sollten dann im Wiederholungsfall auch Konsequenzen tragen ;-)

Eine Ermahnung erfolgt im Fall eines Reports an AbuseIPDB nicht und weitere Konsequenzen schon gar nicht. Andere Admins profitieren von den Reports, wenn Sie manuell oder über die API die IP-Adressen überprüfen. Aber auch nur sehr kurzfristig, da die IP-Adressen häufig wechseln. Oft gehören diese zu gekaperten Rechnern aus einem Bot-Netzwerk.

06.03.2023 12:12 | geändert: 06.03.2023 12:13

7 Jan

Hallo Jörg,

auf meiner Seite sind die meisten IPs länger als 4 Wochen aktiv und so gut wie täglich unterwegs.

Mir ist schon klar das durch meine Einspeisung der Daten eher andere (Fail2Ban z.B) davon profitieren und das leider die "Gegenseite" ohne Folgen so weitermachen kann. Leider :-(

Mit freundlichen Grüßen - Jan

06.03.2023 17:01

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]