Spamhaus DROP Liste für ipfw.

[NaWi]

Hallo !

Besagtes Script sollte unter http://break-left.org/blog/wp-trackback.php?p=279 zur Verfügung stehen.
Da alle von meinem Provider vergebenen IP's anscheinend auf dieser Liste stehen, wollte ich fragen, ob mir jemand das Script bzw. die dort verfügbaren Informationen (sofern diese noch aktuell sind) zukommen lassen kann ?

Danke.

 

[Rakor]

Ist man geblockt schafft ein Anonymisierungsproxy Abhilfe. Siehe: www.torproject.org

 

[NaWi]

Yep, ich kenne Tor - aufgrund meiner langsamen Internetverbindung mach Tor aber keinen Spaß.
Ich bin auch nicht unbeding ein Fan dieser Dienste.

Außerdem erhoffte ich mir hier ein paar Kommentare / Anregungen zu besagter DROP Lösung.

 

[Yamagi]

Hier eine Kopie des Scripts. Völlig ungetestet:

#!/bin/sh
# Generates an IPFW-format deny list based on the Spamhaus DROP list
# http://www.spamhaus.org/drop/
#
# Example ipfw rule:
# ipfw add [nnnn] deny log tcp from 63.148.99.0/24 to 192.168.1.1
#
# Released into the public domain by Break Left Outings
# 20070724/twa

############################################
# Change these to suit your installation
############################################
# The starting ipfw rule number
I=50000
# The interface you want protected.
IFACE=192.168.1.1
# Rules will be written to this file. Remember to include it near the end
# in your "real" ipfw rules script with ". /filename"
IPFWSCRIPT=/usr/local/etc/ipfw.DROPlist
REALIPFWRULES=/etc/rc.firewall
############################################

# No need to change anything below here!
# Vars
DROPLIST=http://www.spamhaus.org/drop/drop.lasso
LOCALNEWFILE=/tmp/droplist.new
LOCALOLDFILE=/tmp/droplist.old
TMP=`mktemp -t tmpdroplist`
TMP1=`mktemp -t tmpdroplist`
TMP2=`mktemp -t tmpdroplist`

# fetch the list
fetch -q -o $LOCALNEWFILE $DROPLIST
if [ $? -ne 0 ] ; then
echo "`date`: makedroplist failed to fetch $DROPLIST. Aborting"
exit 0
fi

#
# Compare the old and new file
# No need to generate new rules if nothing have changed
#

# if old DROP list have disappeared, create a dummy
if [ ! -f $LOCALOLDFILE ] ; then
echo "Spamhaus DROP List" > $LOCALOLDFILE
fi
# Remove first line from both files to ensure a real comparison
# Spamhaus seems to change the first line every day, even if there are no changes
grep -v "Spamhaus DROP List" $LOCALOLDFILE >$TMP
cp $TMP $LOCALOLDFILE
grep -v "Spamhaus DROP List" $LOCALNEWFILE >$TMP
cp $TMP $LOCALNEWFILE

#
# Use diff to see if they are different. We don't need to know WHAT has been changed
#
/usr/bin/diff -q $LOCALNEWFILE $LOCALOLDFILE >/dev/null
if [ $? -eq 0 ] ; then
# Be quiet when nothing has changed. Uncomment next line if you need to know
#echo "`date`: makedroplist: DROP list not changed. Exiting"
rm -f $TMP $TMP1 $TMP2 $LOCALNEWFILE
exit 0
fi

# Clean up the file. We only want the CIDR blocks for ipfw
#echo "cleaning up"
cat -s $LOCALNEWFILE | cut -f 1 -d ";" | tr -d " " >$TMP
# Get rid of blank lines in file
sed '/./,$!d' $TMP >$TMP1
sed -e :a -e '/^n*$/{$d;N;};/n$/ba' $TMP1 >$TMP2

# Write a comment header etc, to the script
echo "#!/bin/sh" >$IPFWSCRIPT
echo "# The Spamhaus DROP list in IPFW format" >>$IPFWSCRIPT
echo "# See http://www.spamhaus.org/drop/ for details" >>$IPFWSCRIPT
echo "# This file was generated on `hostname`, `date`" >>$IPFWSCRIPT

# Generate the ipfw rules
while read line ;do
echo "/sbin/ipfw -q add $I deny log all from $line to $IFACE" >>$IPFWSCRIPT
I=`expr $I + 1`
done < $TMP2

# Load the rules
sh $REALIPFWRULES

# Clean up and exit
rm -f $TMP $TMP1 $TMP2 $LOCALOLDFILE
mv -f $LOCALNEWFILE $LOCALOLDFILE
echo "`date`: ipfw rules successfully generated from $DROPLIST"
# End of script

 

[CommanderZed]

Ich bin kein sonderlicher fan dieser Spamhaus geschichten, - offenbar werden ganze Subnetze von Providern dort gelistet die im endkundengeschäft tätig sind und von wo naturgemäß immer mal wieder jemand "Spam/Angriffe/Sonstwas" durch einen übernommenen Rechner durchführt. Blöd nur das bei diesen Providern immer jemand anders die IP e.t.c. bekommt.

Sicherlich eine gute Idee wenn man einen Mailserver betreibt, aber hoffentlich nicht für irgendwelche anderen sachen.

 

[NaWi]

@Yamagi Danke.

 

[NaWi]

Ich bin kein sonderlicher fan dieser Spamhaus geschichten, - offenbar werden ganze Subnetze von Providern dort gelistet die im endkundengeschäft tätig sind und von wo naturgemäß immer mal wieder jemand "Spam/Angriffe/Sonstwas" durch einen übernommenen Rechner durchführt. Blöd nur das bei diesen Providern immer jemand anders die IP e.t.c. bekommt.

Sicherlich eine gute Idee wenn man einen Mailserver betreibt, aber hoffentlich nicht für irgendwelche anderen sachen.

Ich stimme Dir zu (ich kannte die Liste nur von Mailservern) - mir ergeht es ja genauso.

Vermutlich ist eine Lösung mit fail2ban bei der IP's für eine bestimmte Zeit geblockt werden sinnvoller.

 

[ionas]

Hallo zusammen,
fail2ban ist echt eine geniale Sache. Im Gegensatz zu jeder Black-List von irgendwelchen IPs ist fail2ban absolut wartungsarm. Einmal eingerichtet schützt es den Server zuverlässig. Dabei ist es auch gar nicht schwer neben dem SSH Zugang auch noch z.B. einen Weblogin abzusichern.
Hier ist ein Artikel von mir mit einer Anleitung wie man Wordpress und Odoo absichert.
https://www.ionas-server.com/blog/fail2ban-schutz-vor-brute-force-angriffen/

Gruß
Christoph

 

[NaWi]

Da gäbe es aber noch ein paar Dinge zu verbessern.

 

[Rakor]

Na dann sei nicht scheu und werde konkreter was verbessert werden könnte... Das macht es dem Autor leichter.

 

[NaWi]

Der Autor kann sich bei Interesse ja melden.

 

[Yamagi]

Für mich sieht es ganz stark danach aus, als sollte hier nur ein Link auf diesen obskuren PC-Hilfe Laden gesetzt werden....

 

[NaWi]

Für mich auch, darum habe ich es möglichst diplomatisch formuliert. Im Artikel ist auch die Rede von Ubuntu Server.