-google-ads-
2012
12.26

Wenn man einen SSH-Honeypot wie z.B. den Kippo einsetzt (gute Anleitung zur Installation), aber die Attacken nicht reportet, kann man dies z.B. mit einem weiteren Fail2Ban-Filter tun.

Dazu einfach die Datei /etc/fail2ban/filter.d/kippo.conf mit folgendendem Inhalt erstellen:


# Fail2Ban configuration file
#
# Author: Martin Schiftan
#
# $Revision: 1 $
#

[Definition]

_daemon = sshd

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = (.*),<HOST>\]login attempt(.*)

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

oder selbst anpassen/erstellen 🙂

Und dann in der /etc/fail2ban/jail.conf  folgendes hinzufügen:


[kippo]

enabled = true
port    = ssh
filter  = kippo
logpath  = /home/kippo/log/kippo.log
maxretry = 4

Der Pfad zur Logdatei muss natürlich angepasst werden.

Nach einem Fail2ban neustart, meldet dann Fail2Ban die Logfiles von den Logins am Kippo-SSH-Honeypot an BlockList.de und wird als normale SSH-Attacke verarbeitet.

BlockList selbst kann das Datum aus den Logdateien korrekt parsen. Das Logging muss in der kippo.cfg natürlich aktiviert sein.
Damit BlockList die Reports richtig zuweisen kann, ist eine korrekte Konfiguration von Fail2Ban nötig (Absender-/Empfänger-Adresse, action_mwl)
wie hier beschrieben.
Man kann sich natürlich auch ein eigenes Skript schreiben, was z.B. vom Kippo oder anderen Honeypot ausgelöst wird und die Logfiles reportet.

-google-ads-

Die Kommentarfunktion ist hier derzeit deaktiviert.

Translate »