Re: Inkludierung von AbuseIPDB
Posted: Thu 15. Jan 2026, 14:50
by Ralph
Seit heute sind alle Google Cloud (hunderttausende attackierender IPs) bei AbuseIPDB als "whitelisted" markiert und die Scores wurden alle auf NULL zurückgesetzt. Das sieht schon sehr vertrauenerweckend aus (It stinks) ... Sponsoring?
https://www.abuseipdb.com/check/34.140.38.105
Re: Inkludierung von AbuseIPDB
Posted: Thu 15. Jan 2026, 15:33
by tab-kh
Whitelisted netblocks are typically owned by trusted entities, such as Google or Microsoft
Und wer vertraut denen? Ich vertraue denen ebenso sehr wie sie mir! Naja, eher weniger
Re: Inkludierung von AbuseIPDB
Posted: Sun 18. Jan 2026, 22:32
by blackpanther
Ich arbeite selbst seit mehreren wochen für ein eigenes AUDIT system mit AbuseIPDB.
Ich greife mit mehreren Scripten zunächst bestimmte logfiles auf, wie z.b. mail.log auth.log
Daraus suche ich nach bestimmten zugriffen, unter anderem zwecks beispiel "Sasl Auth" aus dem mail.log file.
Der Hintergrund ist der, das vor Weihnachten e-mail Adressen samt Passwort geleakt worden sind, und dadurch Hacker gruppen das ausgenutzt haben meine Daten zu missbrauchen, um über meinen Server e-mails zu versenden.
Ich prüfe seither 1x am tag mit mehreren scripten (Teils automatisierung) meine mail.log nach Sasl auth zugriffen "grep "SASL.*authentication failed" /var/log/mail.log"
dadurch bekomme ich alle logs, in denen hacker bzw. botnetze bei mir versuchen sich an meinem mailserver anzumelden.
Ich bin da etwas rabiater, als z.b. Fail2Ban, denn F2B geht nur her, und sperrt nur wenige stunden, bis tage und dann geht der "spaß" wieder von vorne los.
ich hole mir zunächst aus mail.log im sinne der Forensic die jeweiligen einträge, damit mail.log und die gz files unangetastet bleiben.
im nächsten schritt werte ich die zugriffe aus, indem ich schaue "wie oft hat ip-x was gemacht?"
hier werden dann die ips aus meinem forensic file herausgelöst und als "ip | hits= x" gespeichert
im weiteren schritt werte ich die ipliste die dadurch entsteht aus, um ggf. ip adressen bzw. auf "/24" ebene blockieren zu können.
wenn aus dem c netz "AAA.BBB.CCC.xxx" mehrere auffällige ipadressen zusammen kommen, z.b. mindestens 3, dann wird das netz zusammengefasst als "xxx.xxx.xxx.0/24" und mein firewall script [ich habe es absichtlich so genannt] schlägt mir dann die zu sperrenden IP's bzw Netze vor, die dann durch weitere scripte in die firewall eingetragen werden, und in mein audit.list file aufgenommen werden.
am ende erstelle ich ein backup file der firewall, und dann sende ich mir "audit.list, firewall.list, nets.list" zusätzlich als email.
warum nets.list?
damit meine scripte "schneller" ablaufen können, erstelle ich aus audit.list ein nets.list wo nur die Netze drin stehen, ohne die infos, die ich in meinem audit.list file drin stehen habe.
audit.list: "14.96.160.0/24 | country=IN | isp=TATA TELESERVICES LTD - TATA INDICOM - CDMA DIVISION | usage=Fixed Line ISP | asn=AS45820 | asn_source=whois"
nets.list: "14.96.160.0/24"
um mal ein beispiel zu benennen.
durch scripte wird das bei mir alles auf ewigkeiten aufgehoben, und die "AbuseIPDB" hilft mir nur um die infos hinter dem jeweiligen netz zu bekommen.
wenn ich dann mal den server neu aufsetzen müsste, dann muss ich nur die daten der firewall wieder einspielen.
ich mache dadurch eine tägliche abfrage, und bevor ich entscheide was in meine firewall rein soll, gucke ich nur noch in mein enrich file, wo ich die vorschläge zum eintrag in meine firewall bekomme, und schaue ob ich z.b. einträge auf "DE" finde, und dann was für ein ISP dahinter liegt, um im nächsten schritt Abuse emails fertig zu machen.
um alles zu erreichen arbeite ich mit 16 scripts.
die ersten 6 scripte in start.sh bis zu dem punkt wo ich meine enrich ergebnisse bekommen die dem format audit.list entsprechen.
start2.sh [10 scripte] machen dann die eintragungen, sortierungen, backups bis zum mailversand der backups.
zeitlauf: zwischen 20 sekunden, und 3 miniten, wenn viele auffällige netze da sind, wo ich 8-10 sekunden pro abfrage via "AbuseIPDB" benötige, was die längste zeit benötigt.
ich gebe zu, die arbeitsschritte und die masse an scripte wag viel sein, aber ich muss sagen, ich habe ruhe, weil ich auf lange sicht die ips bzw. netze blockiere.
mein rootserver hat seitdem schon eine gewaltige entlastung erfahren, da ich unglaublich viele netze bereits blockiert habe, und da geht es bisher nur um sasl auth.
immer dann wenn meine scripte laufen, durchlaufen alle dinge mein nets.list [AUDIT] file, um doppeleintragungen in der firewall und im audit file selbst zu vermeiden.
ich hatte das bisher immer manuell durchlaufen lassen, bis ich mich entschlossen habe teilautomation zu betreiben, indem ich manuell in ie entscheidungen noch eingreifen kann um "endgültig" zu entscheiden was gesperrt wird, und was nicht.
zusätzlich habe ich beim ausführen von start2.sh eine bestätigungsabfrage drin, ob ich das wirklich durchlaufen lassen möchte -> "JA"
spätens ab diesem moment landet das was vorgeschlagen wurde oder von mir manuell geändert wurde in meinem audit file, nets.list und firewall.
ich weiss der text ist viel, aber ich wollt aufzeigen, das es halt gut funktioniert.
ich kann es eigentlich jedem nur empfehlen, macht euch eigene audit files, verlasst euch nicht zu sehr auf externe seiten.
die externen datenbanken sind zwar gut und schön, aber ich finde man sollte nur das blockieren, was tatsächlich das tagesgeschehen auf eurem eigenem server wiederspiegelt.
sonnst könnte man ja gleich direkt alles sperren, und dann geht praktisch garnichts mehr.