-google-ads-
2011
10.13

Blocklist ist in erster Linie auf Mails von Fail2Ban zugeschnitten und zwar für die Mails, welche über die Aktion „sendmail-whois-lines“ versendet wurden.

In diesen Mails, steht der Dienst, die Whoisausgabe (optional) und dann die Logfiles. Wenn wir in den Mails die Whois-Daten finden, verwenden wir diese, ansonsten führen wir eine Whois-Abfrage aus und cachen diese.

Wenn wir allerdings für ein ASN/IP-Range bereits eine eigene Adresse vom z.B. Cert oder von dem zuständigen Abuse-Team direkt erhalten haben, nehmen wir sofort die eingetragene Adresse.

Ansonsten parsen wir die Whois-Daten und prüfen auf folgende Felder:

  • Abuse-Mailbox
  • **AbuseEMail (und ähnliche ARIN-Schreibweisen)
  • Abuse-C-Feld und dort „Mail“
  • irt-nfy
  • Tech-EMail
  • Tech-Contact
  • Trouble-/Remarks-Feld mit der Suche nach abuse*@, security@, csirt@, reportsto,

Sollten wir darin nicht fündig werden, so prüfen wir den RIPE-Abuse-Finder und cachen dessen Ergebnisse ebenfalls zwischen.

Sollte auch der Abuse-Finder keine Adresse gefunden haben, so prüfen wir die Contact-Datenbank von abusix.org. Sollten wir von dort auch kein Ergebnis erhalten, so geht der Report an uns zum manuellen prüfen.

Dies kommt eigentlich nur vor, wenn z.B. uralte Einträge existieren, wo keine Instanz eine Adresse hat. Diese haben dann nicht mal auf dem Hostnamen des Providers/Gateways eine Kontakt-Adresse und abuse.net hat ebenfalls nichts.

Diese Reports können wir dann natürlich nicht zustellen.

Wir haben uns auch schon eigene Whois-Server angeschaut um die Daten nicht über die Whois-Server der Registrys einzeln abzufragen, sondern z.B. per FTP zu syncen, allerdings waren dort nie die korrekten Adressen drin oder aufgrund der Richtlinien nicht im FTP-Data enthalten.

-google-ads-

2 comments so far

Kommentieren
  1. Hmm, wir erhalten nun vom zweiten Nutzer dieses Fail2Ban Services Emails an ziemlich alle unsere Email Adressen welche in unserem RIPE Whois record zu finden sind.

    Obwohl wir sowohl das abuse-mailbox: Attribut wie auch ein IRT Objekt erstellt haben welches die einzige richige Emailadresse beinhaltet.

    Und auch abusix.org kennt via DNS unsere richtige Abuse Emailadresse.

    Hat dieser Reporting Service noch irgendwelche Bugs?

  2. Hallo,

    bitte in so einem Fall einfach an abuse-team@ antworten.
    Wenn die Reports über uns versendet wurden, dann enthalten diese unten immer den Eintrag, woher wir die Adresse haben.
    Wir nutzen dafür die gecachten Whois-Daten, dann den AbuseFinder von der Ripe, dann unsere eigene Datenbank und dort bereits enthaltende Cache-Einträge und dann abusix.org, wenn für das AS-Netzwerk oder IP-Range keine eigene Rewrite-Adresse bei uns besteht.

    Wenn die Reports von Fail2Ban direkt versendet wurden, so gibts dazu hier einen Eintrag:
    http://www.fail2ban.org/wiki/index.php/Talk:Features#Automatic_abuse_mail_sending
    und auch eine Action-Anweisung in der /etc/fail2ban/action.d/complaint.conf:

    actionban = ADDRESSES=`whois | perl -e ‚while () { next if /^changed|@(ripe|apnic)\.net/io; $m += (/abuse|trouble:|report|spam|security/io?3:0); if (/([a-z0-9_\-\.+]+@[a-z0-9\-]+(\.[[a-z0-9\-]+)+)/io) { while (s/([a-z0-9_\-\.+]+@[a-z0-9\-]+(\.[[a-z0-9\-]+)+)//io) { if ($m) { $a{lc($1)}=$m } else { $b{lc($1)}=$m } } $m=0 } else { $m && –$m } } if (%%a) {print join(„,“,keys(%%a))} else {print join(„,“,keys(%%b))}’`
    IP=
    if [ ! -z „$ADDRESSES“ ]; then
    (printf %%b „\n“; date ‚+Note: Local timezone is %%z (%%Z)‘; grep ‚) | „Abuse from “ $ADDRESSES
    fi

    Dort werden die Mails aber nicht über uns gesendet und dort haben wir keinen Einfluss auf die Empfänger-Adresse und den Intervall der Reports, sondern nur der Admin vom Server.

Dein Kommentar