hokaido
Goto Top

Abuseipdb Comment

Hallo,

ich melde per Fail2Ban geblockte IPS an AbuseIPDB.
Funktioniert auch alles.

Nur enthalten die Reports, die dann an AbuseIPDB geliefert wurden allerhand Infos, die ich gar nicht da drin haben will, deswegen habe ich die Funktion erst mal wieder deaktiviert.

action.d/abuseipdb.conf schaut so aus:

actionban = lgm=$(printf '%%.1000s\n...' "<matches>"); curl -sSf "https://api.abuseipdb.com/api/v2/report" -H "Accept: application/json" -H "Key: <abuseipdb_apikey>" --data-urlencode "comment=$lgm" --data-urlencode "ip=<ip>" --data "categories=<abuseipdb_category>"  

Egal was ich hier einstelle, es ist immer irgendwas im Report was da nicht hin soll.

Am liebesten wäre mir im Report nur der Comment: "IP xy hat xy gemacht" (den Text würde ich dann natürlich jeweils anpassen).
Geht das?
Hat vll. jemand eine funktionierende

actionban = ....

Danke.

Content-ID: 1579841181

Url: https://administrator.de/forum/abuseipdb-comment-1579841181.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Snowman25
Snowman25 02.12.2021 um 17:04:08 Uhr
Goto Top
Servus,

magst du uns mal kurz abreissen, WAS für Infos da noch drin stehen, die du nicht da drin haben möchtest?

Schönen Gruß,
@Snowman25
hokaido
hokaido 02.12.2021 um 17:15:22 Uhr
Goto Top
Ist je nach Jail bzw Fikter unterschiedlich. Ich habe lediglich die Kategorien entsprechend pro Jail angepasst. Sonst nix.

Z.b. meine Domain, teilweise die Login Namen mit denen sich zb versucht wurde an Nextcloud anzumelden, etc
Snowman25
Snowman25 02.12.2021 um 17:30:02 Uhr
Goto Top
In $lgm wird der Eintrag aus dem Log geschreiben. Den musst du halt entsprechend umformatieren, bevor der curl-Aufruf abgesetzt wird.
hokaido
hokaido 02.12.2021 um 19:36:06 Uhr
Goto Top
Selbst wenn ich beide lgm Teile lösche, ändert sich aber nix. Entsprechend umformatieren, klar...Wenn ich wüsste wie, hätte nicht fragen müssenface-smile

Habe auch div. zum "Comment" habe ich eingebaut.Leider nix gebracht
Der-Phil
Der-Phil 03.12.2021 aktualisiert um 14:47:16 Uhr
Goto Top
Hallo!

Du müsstest schon etwas klarer sagen, was das Problem ist, also welche Infos drin sind, die Dich stören bei welcher Konfiguration.

Ich nutze AbuseIPDB viel und aus Überzeugung und eigentlich muss man nur ganz wenige mitgeben:

http-method=post http-data="key=3xxxxx&categories=14&comment=Portscan&ip=$attackip" \
url="https://api.abuseipdb.com/api/v2/report"

--> Damit gebe ich nur die Kategorie, den Kommentar und die IP mit.

In Deinem Beispiel kannst Du ja in das Kommentarfeld ($lgm) schreiben, was Du willst...
hokaido
hokaido 03.12.2021 um 16:34:39 Uhr
Goto Top
Das hab ich doch schon...
In Post 1 steht die aktuelle Konfiguration ind Post 3 was mich daran stört.
Wie gesagt habe ich $lgm bereits ersetzt. Ohne Ergebnis
Snowman25
Snowman25 03.12.2021 um 17:47:45 Uhr
Goto Top
Zitat von @hokaido:

Das hab ich doch schon...
In Post 1 steht die aktuelle Konfiguration ind Post 3 was mich daran stört.
Wie gesagt habe ich $lgm bereits ersetzt. Ohne Ergebnis

Wenn du $lgm schon rausgeworfen hast und trotzdem nich ein Kommentar auftaucht, dann editierst du das falsche Skript. Service nach den Änderungen jeweils neu gestartet?
hokaido
hokaido 03.12.2021 um 19:12:47 Uhr
Goto Top
Ich editiere den in Post 1 genannten Befehl in genannter Datei. Exakt so war er als Standard drin und ich hab versucht ihn zu editieren.
Wenn das der falsche Ort ist, bitte den richtigen nennen.

Ist ja schön, wenn das bei Euch so easy läuft. Hier nicht. Deswegen könntet Ihr Euer Wissen teilenface-smile

@Der-Phil:
Wo schreibst du Deinen Befehl hin
hokaido
hokaido 07.12.2021 um 08:46:40 Uhr
Goto Top
Ich hab jetzt noch einiges probiert, aber ich kriege weiterhin ungewollten Inhalt in die Reports.
Dann lass ich das mal lieber...
hokaido
hokaido 13.12.2021 um 09:36:14 Uhr
Goto Top
Falls nochmal jemand reinschauen sollte. Bin nach wie vor an einem Lösungsdansatz interessiert