KeyHelp Community

Super wäre es, wenn es die Möglichkeit für File2Ban gäbe, die AbuseIPDB direkt aus dem Control Panel zu aktivieren und ggf. auch die Sperren dieser in der Firewall mit einzubeziehen.

Da es sich bei AbuseIPDB um ein kommerzielles Produkt handelt stehen die Chancen eher schlecht.

https://www.abuseipdb.com/pricing

Auch, wenn das Free Package nahezu ausreichend ist für den Standard Fall?
Es ist optional erweiterbar, aber nicht zwingend notwendig.

Die Blocklisten von AbuseIPDB sind auf GitHub kostenlos und ohne Ratelimit verfügbar:
https://github.com/borestad/blocklist-abuseipdb

Ich nutze die Listen bereits in meiner OPNsense-Firewall, aber sie lassen sich auch problemlos mit einem kleinen Skript regelmäßig ziehen und in iptables integrieren. Fail2ban so umzubauen, dass es selbst IPs an AbuseIPDB meldet, ist etwas komplexer. Hier ist CrowdSec die deutlich einfachere und modernere Alternative.

Habe hier mal zwecks CrowdSec meinen Senf dazugegeben:
viewtopic.php?p=54651#p54651

lrab wrote: ↑Sat 14. Jun 2025, 20:29 Die Blocklisten von AbuseIPDB sind auf GitHub kostenlos und ohne Ratelimit verfügbar:
https://github.com/borestad/blocklist-abuseipdb

Danke für den Hinweis.
Das habe ich daraus gemacht:
viewtopic.php?p=54666#p54666

lrab wrote: ↑Sat 14. Jun 2025, 20:29 Die Blocklisten von AbuseIPDB sind auf GitHub kostenlos und ohne Ratelimit verfügbar:
https://github.com/borestad/blocklist-abuseipdb

Ich habe das testweise auch mal auf 2 Servern eingebunden. Die Auslastung ist laut Monitoring sofort um 1/3 eingebrochen. Ich werde das mal beobachten

Vielen Dank

Du kannst AbuseIPDB in deine Fail2Ban Konfiguration einbauen um IP Adressen zu melden.
Da muss man nichts viel umbauen und ist kein Problem zum integrieren.

Hier das Setup fürs IP-Reporting:

Du benötigst einen kostenfreien Account bei Abuseipdb.com
Dann erstellst du dir ein kostenfreien API Key

Eigentlich hat man nur 1000 Reports per Day free.
Wenn du jedoch den Werbebanner/Badge in deine Webseite einbaust, bekommst du mittlerweile bis 5000 Meldungen pro Tag (war mal 3000).
Ich denke das sollte mal ausreichen ^^

Folgendes wäre zu tun:

Sollte es bei dir noch keine /etc/fail2ban/action.d/abuseipdb.conf geben.

Lade die aktuellste Config:
Öffne die Datei z.B. mit nano
Füge ganz unten deinen API Key ein
Prüfe eventuell deine Report-Config. unter actionban ob die Übergabe per curl korrekt ist.
Es kann sein dass bei dir bei "categories" nur --data steht, ändere es in --data-urlencode

Öffne die jail.conf (alternativ über eine jail.local)
Hier suchst du nach [sshd] und fügst darunter diese Regel ein
Das ist jetzt nur ein Beispiel, bei "API-KEY" musst du natürlich deinen Key einsetzen.
Und du kannst das in diversen Jails und nicht nur sshd einfügen und die Kategorien anpassen (sollte natürlich stimmen).

Hier ist die Kategorie-Liste: https://www.abuseipdb.com/categories

Danach am besten Fail2Ban restart od. config neu laden.


Info:
Um es zu melden benötigt es entweder ein Bash od. Python Script bzw. cURL.
Ich habe es so belassen und lasse es per cURL senden.
Wer das nicht möchte, kann sich auch ein Script anlegen.



btw:
Soweit sollte das funktionieren.
Ich habe es auch erst heute eingebaut, mittels Test-Ban mit fiktiver IP über Shell funktionierte es auch und war gleich im AbuseIPDB Dashboard.
Autom. noch nicht, da stimmt noch etwas nicht obwohl die API Verbindung da ist.

Aktuelle IP Bans werden noch nicht übermittelt und sind daher nicht im Dashboard ersichtlich.
Mache ich manuell einen Report, is diese sofort übermittelt mit z.b.

Werde das nochmal prüfen oder sonst vl. wirklich per Bash Script, nur daran sollte es nicht liegen, curl funkt ja.


Hoffe nicht, dass Keyhelp bzw. die Anpassung mittels kh-recidive stört, dass ich bereits seit längerem angepasst habe.


Vielleicht kann das noch jemand Reproduzieren ?


Werde mir als nächstes noch die umgekehrte Variante der IP-Blocklist einbauen.

@ITS wrote: ↑Wed 6. Aug 2025, 04:38 Du kannst AbuseIPDB in deine Fail2Ban Konfiguration einbauen um IP Adressen zu melden.

Warum sollte man das wollen?

Warum nicht ?
Um das Projekt zu unterstützen, solche Projekte leben davon, dass man Abuse reportet.
Genau dadurch kommt man im umgekehrten Sinn dann auch zu den IP Blocklists des jeweiligen Anbieters.
Die du in diesem Fall ja auch heranziehst für die Integration in Keyhelp um Angreifer Server-IPs zu blocken.

Man muss es nicht tun, aber warum man Spam, IPs, Domains, etc. meldet, sollte eigentlich Selbsterklärend sein und stellt sich mir nicht ^^

Hab ich nur gepostet, weil Irab meinte das ist komplexer u. ich sowieso gerade dabei war dies zu integrieren.
Ist eigentlich nicht komplex, bei mir klappt nur irgendwas beim autom. Reporting noch nicht, vermutlich meine vorherige custom config die ich nicht bedacht hatte und muss das mal dort einbauen... es wird scheinbar "action" nicht geladen wenn ich mir den fail2ban-client status sshd ansehe

@ITS wrote: ↑Wed 6. Aug 2025, 07:39 Warum nicht ?

Weil es sich bei IP Adressen um personenbezogene Daten handelt welche man „nicht einfach mal eben so“ weitergeben darf.
Im schlimmsten Fall machst du dich strafbar.

Ja schon - und ja der Anbieter sitzt leider in den USA.
Nur dann darfst du generell vieles nicht unbedingt...
Will man ehrlich wieder mit solchen Diskussionen zu Rechtsfragen anfangen, dann müsste man ganz weit ausholen, was man "nicht darf" bzw. nicht ganz DSGVO Konform ist und gleich hier im Forum anfangen bis hin zu den Mail/Domain/Host/IP blocken u. melden über div. BLs bzw. Einbindung externer Dienste sowie andere Themen.

Bzgl. IP melden.. dabei wird es kaum IP's geben welche wirklich einzelne "Personen" betreffen, sondern hauptsächlich Bot-Netzwerke.
Und wenn sind es Hacker, die glaube keine Strafverfolgung interessieren wird, auch in deren Interesse.
Sollte eine IP von einem Hacker von jemand anderen missbraucht werden, hat der User/Admin ganz andere Probleme.
Die Beweislast liegt zwar meist bei der Person, die die IP-Adresse meldet aber ich würde mal sagen, die Angriff-Logs reichen als Nachweis für einen Policy Verstoß und berechtigter Meldung an Blocklisten. Es wäre etwas anderes, wenn die Meldung böswillig ohne begründeter Grundlage basiert.

Manchmal hat man hier das Gefühl, als sind manche bei der EU-Datenschutzkommission angestellt, welche die theoretisch gut angedachte aber praktisch schlecht umgesetzte DSGVO ins Leben gerufen haben.

Aber da klinke ich mich wieder aus.
Macht mal ein Forum od. Topic für Rechtsfragen, dort kann man alles behandeln, wem dies in gewissen Thematiken nicht klar sein sollte bzw. keine Vorkehrung sowie Einwilligungen trifft oder dazu Aufklärung benötigt.

@ITS
Dein persönliches Rechtsempfinden in allen Ehren, aber hier geht es um Rechtsvorschriften auf europäischer Ebene.
Beim automatisierten Übermitteln ungeprüfter IPs an Dritte kannst du nicht ausschließen auch Privatpersonen zu sperren.

Ich kann alle anderen User nur eindringlich warnen solche Aussagen von ITS als „geltendes Recht“ zu betrachten.
Es ist zum heutigen Zeitpunkt strafbar und nicht mit geltendem internationalen Recht vereinbar.

Ich habe keine Rechtsverbindlichen Aussagen getroffen, das darf und kann ich nicht, noch irgendwas empfohlen, daher gibt es nichts zu warnen.
Sagte jedoch, dass man viel beachten sollte, wenn man in diese Richtung eingeht, statt aufs Thema im Technischen Sinne.
Ausschließen kann man generell nichts zu 100% - und Rechtslage generell bekannt jedoch im Einzelfall immer zu Prüfen.

Es sind hier höchstwahrscheinlich keine Juristen an Bord und alle Aussagen von jedem hier, haben keine Rechtskräftige Aussagekraft und dürfen keine Rechtsbelehrung sein. Rechtslagen sind übrigens nicht immer schwarz-weiß und manchmal komplex. Darum gibt es die Branche der Anwälte und Juristen.

Zeig mir aber gerne eine Statistik von False-Positiv Meldungen die Privatpersonen betroffen haben, die mich selber interessieren würde.
Zudem dazu der Großteil an Privat-User dynamische IPs vom ISP erhalten, dass natürlich keinen wesentlichen Unterschied macht, nur dass eine IP meist nicht auf Dauer einer Person zuweisbar ist.

Aber nochmal allgemein und das ist weder eine Rechtsbindende Aussage noch nur ein Persönliches Empfinden.

Wenn eine IP-Adresse aufgrund von Missbrauch oder kriminellen Aktivitäten gemeldet wird, könnte dies rechtlich zulässig sein.
Es muss jedoch sichergestellt werden, dass die Meldung gerechtfertigt und nicht diskriminierend ist.
Die Beweislast liegt im Normalfall bei dem der die IP gemeldet hat.

Die Erfassung und Speicherung von IP-Adressen kann unter den Schutz der DSGVO fallen und IPs als personenbezogene Daten betrachtet werden, sofern sie einer bestimmten Person zugeordnet werden können. Die Speicherung/Übermittlung in Verbindung der DSGVO Bestimmungen sind natürlich eine Herausforderung.

Die betroffene Person sollte, wenn möglich, über die Meldung informiert werden, es sei denn, es gibt spezifische Gründe, dies nicht zu tun.

Personen, deren IP-Adressen fälschlicherweise gemeldet wurden, haben möglicherweise das Recht, rechtliche Schritte einzuleiten, um die Löschung oder Korrektur ihrer Daten zu verlangen.



So...

Belassen wir das hier, da sonst wieder ein Funktionswunsch-Thread vollgespammt wird weil man andere Themen anschneidet u. eh nicht das war was Tobi7889 wollte, er wollte die Blockliste nutzen und im Interface unter Fail2ban direkt einsetzen können um IP Adressen zu blocken, die bereits bei AbuseIPDB in der Datenbank von anderen gemeldet sind.

Ich habe nur aufgegriffen, dass es komplex wäre Fail2ban so umzubauen fürs Melden an den Anbieter und wollte zeigen wie es gehen würde.

@ITS wrote: ↑Wed 6. Aug 2025, 09:09 Tobi7889 wollte, er wollte die Blockliste nutzen und im Interface unter Fail2ban direkt einsetzen können und IP Adressen zu blocken, die bereits bei AbuseIPDB in der Datenbank von anderen gemeldet sind.

Genau, der Teil war bereits gelöst. Siehe mein Beitrag weiter oben.

Du hast mit dem „Übermitteln an abuseip“ angefangen und ich weise lediglich darauf hin, dass die Weitergabe von IP Adressen rechtlich nicht zulässig ist.