to live is to die » Firewall

Creando un Script en PHP para chequear IPs en Listas negras (Blacklist)

admin — Mon, 14 Sep 2009 17:20:09 +0000

Una lista negra (black list) es una lista donde se registran direcciones IPs que generan SPAM ya sea de forma voluntaria o involuntaria. Estas listas aunque las hay de pago suelen ser libres y cualquiera puede añadir una IP inocente de manera malintencionada por lo que también podemos solicitar ser removidos de ellas si hemos sido incluidos.

Tanto chequear diferentes tipos de webs con listas negras he decidido crear este pequeño Script en PHP que nos será de utilidad ya que comprueba una lista personalizada de Black List y nos devuelve el resultado en pantalla o a un email si se lo indicamos. Es totalmente personalizable y muy sencillo de modificar.

if ($_POST['ip']) { $ip = $_POST['ip']; } 

function blacklist($ip) {
   $dnsbl=array("b.barracudacentral.org"=>"",
   "bl.deadbeef.com"=>"",
   "bl.emailbasura.org"=>"",
   "bl.spamcannibal.org"=>"",
   "bl.spamcop.net"=>"Blacklist de Spamcop",
   "blackholes.five-ten-sg.com"=>"",
   "blacklist.woody.ch"=>"",
   "bogons.cymru.com"=>"",
   "cbl.abuseat.org"=>"Composite Blocking List)",
   "cdl.anti-spam.org.cn"=>"",
   "combined.abuse.ch"=>"",
   "combined.rbl.msrbl.net"=>"",
   "db.wpbl.info"=>"",
   "dnsbl-1.uceprotect.net"=>"",
   "dnsbl-2.uceprotect.net"=>"",
   "dnsbl-3.uceprotect.net"=>"lista de pago",
   "dnsbl.ahbl.org"=>"",
   "dnsbl.cyberlogic.net"=>"",
   "dnsbl.inps.de"=>"",
   "dnsbl.njabl.org"=>"",
   "dnsbl.sorbs.net"=>"rangos dinámicos",
   "drone.abuse.ch"=>"",
   "drone.abuse.ch"=>"",
   "duinv.aupads.org"=>"",
   "dul.dnsbl.sorbs.net"=>"rangos dinámicos",
   "dul.ru"=>"",
   "dyna.spamrats.com"=>"rangos dinámicos",
   "dynip.rothen.com"=>"",
   "fl.chickenboner.biz"=>"",
   "http.dnsbl.sorbs.net"=>"",
   "images.rbl.msrbl.net"=>"",
   "ips.backscatterer.org"=>"",
   "ix.dnsbl.manitu.net"=>"",
   "korea.services.net"=>"Block Asian spam (Korea)",
   "misc.dnsbl.sorbs.net"=>"",
   "noptr.spamrats.com"=>"",
   "ohps.dnsbl.net.au"=>"",
   "omrs.dnsbl.net.au"=>"",
   "orvedb.aupads.org"=>"",
   "osps.dnsbl.net.au"=>"",
   "osrs.dnsbl.net.au"=>"",
   "owfs.dnsbl.net.au"=>"",
   "owps.dnsbl.net.au"=>"",
   "phishing.rbl.msrbl.net"=>"",
   "probes.dnsbl.net.au"=>"",
   "proxy.bl.gweep.ca"=>"",
   "proxy.block.transip.nl"=>"",
   "psbl.surriel.com"=>"Passive Spam Block List",
   "rbl.interserver.net"=>"",
   "rdts.dnsbl.net.au"=>"",
   "relays.bl.gweep.ca"=>"",
   "relays.bl.kundenserver.de"=>"",
   "relays.nether.net"=>"",
   "residential.block.transip.nl"=>"rangos dinámicos",
   "ricn.dnsbl.net.au"=>"",
   "rmst.dnsbl.net.au"=>"",
   "short.rbl.jp"=>"",
   "smtp.dnsbl.sorbs.net"=>"",
   "socks.dnsbl.sorbs.net"=>"",
   "spam.abuse.ch"=>"",
   "spam.dnsbl.sorbs.net"=>"",
   "spam.rbl.msrbl.net"=>"",
   "spam.spamrats.com"=>"",
   "spamlist.or.kr"=>"",
   "spamrbl.imp.ch"=>"",
   "t3direct.dnsbl.net.au"=>"",
   "tor.ahbl.org"=>"",
   "tor.dnsbl.sectoor.de"=>"",
   "torserver.tor.dnsbl.sectoor.de"=>"",
   "ubl.lashback.com"=>"Tracking Unsubscribe Abuse",
   "ubl.unsubscore.com"=>"",
   "virbl.bit.nl","virus.rbl.jp"=>"",
   "virus.rbl.msrbl.net"=>"",
   "web.dnsbl.sorbs.net"=>"",
   "wormrbl.imp.ch"=>"",
   "sbl.spamhaus.org"=>"Spamhaus Block List",
   "xbl.spamhaus.org"=>"Spamhaus Exploits Block List",
   "pbl.spamhaus.org"=>"Spamhaus Policy Block List",
   "zen.spamhaus.org"=>"Spamhaus (Combinación Spamhaus)",
   "zombie.dnsbl.sorbs.net"=>"",
   "1.apews.org"=>"Anon. Postmasters Early Warning System",
   "2.apews.org"=>"Anon. Postmasters Early Warning System",
   "bulk.rhs.mailpolice.com"=>"domains",
   "porn.rhs.mailpolice.com"=>"pornograf sites",
   "fraud.rhs.mailpolice.com"=>"phising",
   "block.rhs.mailpolice.com"=>"bulk y fraud",
   "dynamic.rhs.mailpolice.com"=>"dinamicas",
   "adv.rhs.mailpolice.com"=>"email marketing",
   "webmail.rhs.mailpolice.com"=>"webmails services",
   "adult.rhs.mailpolice.com"=>"adult sites, blogs etc",
   "redir.rhs.mailpolice.com"=>"sites redirigidos");

if ($_POST['ip']) {
   $parte=explode(".",$ip);
   $rip=$parte[3].".".$parte[2].".".$parte[1].".".$parte[0];

   foreach ($dnsbl as $key=>$value){
      if (checkdnsrr($rip.".".$key . '.',"A")) { $lista[]=$key." - ".$value; }
   }

   echo "";
   foreach ($lista as $server){
      echo "".$server."";
      $bl .= $server."\n";
   }
   echo "";  

   # ---------------------------------------------
   # - enviamos un reporte a un email.
   if ($_POST['report'] == "on") {
      $email = "su@email";
      $headers = "MIME-Version: 1.0\n";
      $headers .= "Content-type: text/plain; charset=iso-8859-1\n";
      $headers .= "From: $email \r\n";
      $asunto = "Report Blacklist: $ip";
      $txt = "La ip $ip esta listada en:\n\n".$bl;
      mail($email, $asunto, $txt, $headers);
   } # fin reporte
   # ---------------------------------------------

} # fin if
} // fin funcion listas negras

if ($_POST['ip']) {
   echo "Su IP: ".getenv('REMOTE_ADDR')." esta en las siguientes listas negras:";
   echo blacklist($ip);
}

El formulario en HTML quedaría de la siguiente forma:


 
  Enviar reporte por email.

Para una demo del script:
http://www.artegrafico.net/laboratorio/php/blacklist.php

Shell Script para incluir/actualizar “drop.lasso” de Spamhaus usando iptables en Gentoo Linux

admin — Thu, 14 May 2009 21:37:47 +0000

Este es un pequeño Shell Script para añadir y actualizar rangos de IPs de la lista drop.lasso de Spamhaus.org y que ha determinado como principales emisores de SPAM en Internet.

# declaramos las variables que vamos a usar.
IPTABLES="/sbin/iptables"
SPAM_URL_spamhaus="http://www.spamhaus.org/drop/drop.lasso"
SPAM_FILE_TMP="/home/backup/scripts/spamhaus.ips"
SPAM_TABLE_spamhaus="Spamhaus"
SPAM_IPS=$(cat $SPAM_FILE_TMP | grep -iE "^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | awk -F\; '{ print $1 }')

# borramos el fichero de ips anterior si existe.
rm -f $SPAM_FILE_TMP
# descargamos la ultima actualización realizada por spamhaus.org.
# -q no muestra ningún log de registro | -c para continuar la descarga si se cortara.
wget -qc $SPAM_URL_spamhaus -O $SPAM_FILE_TMP

# creamos las lista de ips.
$IPTABLES -n -L INPUT | grep -q "$SPAM_TABLE_spamhaus"

if [ $? -eq 0 ] ; then
   # borramos todas las reglas que contiene la cadena spamhaus.
   $IPTABLES -F $SPAM_TABLE_spamhaus
else
   # crea una nueva cadena llamada spamhaus si no existe.
   $IPTABLES -N $SPAM_TABLE_spamhaus
   # añade la regla spamhaus para todo el tráfico entrante.
   $IPTABLES -A INPUT -j $SPAM_TABLE_spamhaus
fi
   # con RETURN salta el objetivo si existe.
   $IPTABLES -A $SPAM_TABLE_spamhaus -j RETURN

# recorremos la lista de IPs para ir incluyéndolas una por una a iptables.
for IP in $SPAM_IPS
do
    # inserta una nueva regla a la cadena con la opciones especificadas.
    # -p all (bloquea el trafico recibido a través de los protocolos icmp, tcp, udp)
    # -s ip (ip origen del paquete)
    # -j DROP (elimina el paquete recibido)
    $IPTABLES -I $SPAM_TABLE_spamhaus -p all -s $IP -j DROP
done

“El Shell Script ha sido probado correctamente en Gentoo y Fedora Core 5″

Como veis es bastante sencillo y probablemente mejorable … luego solo tendríamos que añadirlo a nuestro crontab para que se ejecute periódicamente.
Descargar el ejemplo.

Howto fail2ban en Gentoo Linux

admin — Wed, 15 Apr 2009 16:10:21 +0000

Fail2Ban es un framework escrito en Python, el cual es capaz de correr en sistemas Linux y con firewalls ya funcionando como iptables, TCP Wrapper, etc … Es libre y se distribuye bajo licencia GNU. Su objetivo es leer logs del sistema y banear aquellas IPs que intentan loguear en el sistema un número determinado de veces. Para instalarlo necesitamos tener Python 2.3 o superior.

Instalación y ficheros de configuración.

# Como ya sabemos las instalaciones en Gentoo Linux son sencillas.
emerge fail2ban.
# el fichero de configuración esta localizado en
/etc/fail2ban/fail2ban.conf
# el fichero donde configuraremos los parámetros a configurar está en
/etc/fail2ban/jail.conf
# y los directorios de acciones y filtros a realizar en
/etc/fail2ban/action.d/
/etc/fail2ban/filter.d/

# del fichero de configuración fail2ban.conf lo más importante es indicarle la ruta donde se guardará el log.
logtarget = /var/log/fail2ban.log
# el tiempo en segundos de baneo a una IP.
bantime = 600
# el número de fallos antes de ejecutar un Ban a IP.
maxretry = 3

A continuación muestro 2 ejemplos del fichero jail.conf para comprobar los accesos en los protocolos SSH y FTP usando IPtables.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
mail-whois[name=SSH, dest=su@email.net]
logpath  = /var/log/auth.log
maxretry = 3

[proftpd-iptables]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
mail-whois[name=ProFTPD, dest=su@email.net]
logpath  = /var/log/auth.log
maxretry = 3

true indica que deseamos activarlo, que el puerto y protocolo a usar será ssh o ftp, y que nos enviará un email en el caso de que se ejecute un Ban. Es muy importante indicarle el LOG donde chequeará tanto los fallos como el numero de intentos antes de proceder a banear una IP.

Puesta en marcha y comprobaciones varias.

# Para iniciar fail2ban ejecutamos
fail2ban-client start
# y para cargar nuevas configuraciones
fail2ban-client reload
# tambien debemos incluirlo para que se inicie como demonio al arrancar el sistema
rc-update add fail2ban default
# y chequearemos que está trabajando correctamente.
ps -ef