Перейти к содержанию

AbuseIPDB Integration

Интеграция AbuseIPDB для animails

(Только поддержка сообщества)

Введение

AbuseIPDB — это онлайн-сервис, предназначенный для идентификации и сообщения о вредоносных IP-адресах. Он предоставляет платформу, где пользователи могут собирать и обмениваться информацией о подозрительной активности IP, помогая в эффективной борьбе с киберугрозами. База данных постоянно обновляется на основе пользовательских данных, что позволяет специалистам по безопасности и сетевым администраторам проактивно защищать свои системы от потенциальных атак. Благодаря различным интеграциям API и функциям поиска AbuseIPDB служит ценным ресурсом для повышения сетевой безопасности и предотвращения злоупотреблений со стороны киберпреступников.

Предварительные условия

Создание бесплатной учетной записи AbuseIPDB

Для использования API AbuseIPDB необходимо создать бесплатную учетную запись: https://www.abuseipdb.com/register

После успешной регистрации вы сможете создать новый API-ключ в личном кабинете на вкладке «API». Этот ключ потребуется для работы скрипта ниже.

Необходимые пакеты

В вашей системе animails должен быть установлен пакет «ipset».

Скрипт

API-ключ, полученный выше, затем используется в соответствующей переменной «ABUSEIP_API_KEY» в следующем скрипте:

https://github.com/DocFraggle/animails-scripts/blob/main/abuseipdb.sh

(пожалуйста, проверьте код перед использованием.)

Скрипт можно разместить по любому выбранному вами пути. Вы можете запускать его через cron до 5 раз в день — это лимит для бесплатной учетной записи AbuseIPDB. В следующем примере задание cron запускается каждые 5 часов: в 0, 5, 10, 15 и 20 часов.

0 */5 * * * /path/to/the/above/script

Если скрипт запущен с параметром --skip-abuseipdb, получение IP-адресов из AbuseIPDB пропускается. Это может быть полезно, чтобы не исчерпать ежедневный лимит, например, при повторном добавлении правила iptables после перезапуска animails.

Если скрипт запущен с параметром --enable-log, создаются дополнительные правила LOG. Логи можно найти в journalctl/syslog, в зависимости от системы.