This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

[TUTO] Automatiser Blacklist depuis internet


Superthx

Messages recommandés

Bonjour,

@Diabolomagic ayant testé sur SRM, de mon côté j'ai testé sur DSM6 et DSM7, voici donc la mise à jour du script, ayant retiré la liste mariushosting et ajouté la liste (les listes) feodotracker.abuse.ch . Je n'ai pas touché au reste du fonctionnement du script.

autoblocksynology_20210223.sh

bruno78

Lien vers le commentaire
Partager sur d’autres sites

@bruno78 Merci à toi pour l'aide apportée ! Je confirme pour SRM que le crontab fonctionne aprés une premiére execution du script à la main. Je reste vigilant pour savoir si comme sur DSM il y a bien un roulement des adresses IP de façon à ne pas faire "exploser" la bdd.

@Superthx Re, @ bientôt j’espère 😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

@bruno78

Je viens de consulter votre dernière version du script, et j'ai 2 observations très mineures

La ligne echo "" >> $tmp1 (ligne148 du script joint) n'aurait pas dû être supprimée.
Elle rajoute le retour à la ligne manquant après la dernière Ip dans la liste téléchargée.
Sans elle cette dernière IP n'est pas prise en compte.

J'ai téléchargé les 3 listes de feodotracker.abuse.ch et un rapide examen montre que ipblocklist_recommended.txt n'est qu'un extrait de ipblocklist.txt qui n'est elle même qu'un extrait de ipblocklist_aggressive.txt.
Il suffit donc de télécharger une seule liste suivant la sévérité de filtrage souhaité.

Lors de consultation du script, j'ai vu quelques améliorations possibles
   - augmentation de la vitesse d"exécution du script
   - compactage du code
  - rajout en infos finales du nombre d"IP provenant du fichier filtreperso.txt

Je n'utilise pas ce script, donc je n'ai pas fait de don sur le site de mariushosting.com et en conséquence je ne peux y accéder.
Je ne peux donc pas adapter le script pour ce site.

Une solution palliative serait envisageable:
  -téléchargement manuel des fichiers mariushosting.com et les mettre dans un répertoire donné (celui
du script par exemple)
 - corriger le script pour leur prise en compte (comme filtreperso.txt)

@Superthx

J’ai l'impression que vous présentez les premiers symptômes du bégaiement😆

Bonne soirée à tous.

 

Modifié par PPJP
Lien vers le commentaire
Partager sur d’autres sites

@PPJP merci d'avoir passé un peu de temps à décortiquer l'affaire,

  • echo >> $tmp1 : je vais le rajouter
  • listes feodotracker : je vais ajouter tes remarques en entête de fichier, et par défaut ne charger que la liste agressive
  • listes mariushosting : je vais recontacter l'auteur pour voir ce qui est possible ou pas. Si pas possible, ton idée est intéressante et doit pouvoir se mettre en place facilement. Je regarde.
  • autres améliorations :
    • compactage de code et amélioration de la vitesse: suis pas forcement suffisamment compétent ... (et ne suis pas l'auteur initial du code). Quelles seraient les pistes d'amélioration d'après toi ?
    • infos finales à améliorer : ça doit pouvoir se faire ...

bruno78

Lien vers le commentaire
Partager sur d’autres sites

@PPJP@bruno78

Bonjour, J'ai essayé le nouveau script, il ne semble pas très bien fonctionné sur le routeur.

Voila le rapport du fichier log :

~ # /bin/sh /volumeUSB1/usbshare1-1/scripts/autoblocksynology.sh

Demarrage du script autoblocksynology.sh v0.0.4: Sat Feb 27 09:49:03 CET 2021
sh: 0: unknown operand
 IP téléchargée sur filtreperso.txt
sh: 0: unknown operand
Echec chargement IP depuis le site https://lists.blocklist.de/lists/all.txt
sh: 0: unknown operand
Echec chargement IP depuis le site https://feodotracker.abuse.ch/downloads/ipblcklist_aggressive.txt
26111 IP ont été traitées
25976 IP ont vu leur blocage prolongé
135 nouvelles IP ont été ajoutées
26614 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 14 secondes

De plus mon routeur est de plus en plus lent, est il possible que la bdd grossisse et sature sa mémoire interne ?


Si possible et pas trop chronophage comment modifier le script de manière à ce qu'il se serve de la carte SD bien plus volumineuse (1.5Go utilisé sur les 32 disponible !) pour faire tourner le script et soulager le routeur ?

Faut il "simplement" modifier ceci  ?

### CONSTANTES ###
##################
Version="v0.0.4"
db="/etc/synoautoblock.db"
dirtmp="/tmp/autoblock_synology"

Je viens de faire un htop :

htop.thumb.jpg.21370f6a1c631a181e2c2b8982f83d3e.jpg

Ça ne me semble pas déraisonnable pourtant :

1165963300_taillebdd.jpg.5c62985c7e61290289d93b063c354c88.jpg

 

Lien vers le commentaire
Partager sur d’autres sites

Sur le NAS en revanche, le script fonctionne comme sur des roulettes :


Demarrage du script autoblocksynology.sh v0.0.4: Sat Feb 27 10:20:03 CET 2021
0 IP téléchargée sur filtreperso.txt
25635 IP téléchargées sur https://lists.blocklist.de/lists/all.txt
421 IP téléchargées sur https://feodotracker.abuse.ch/downloads/ipblocklist_aggressive.txt
26056 IP ont été traitées
25972 IP ont vu leur blocage prolongé
84 nouvelles IP ont été ajoutées
26468 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 0mn 4s

 

Lien vers le commentaire
Partager sur d’autres sites

Perso, j'ai ceci :

SynologyRouter> ./autoblocksynology_20210226.sh

Demarrage du script autoblocksynology_20210226.sh v0.0.4: Sat Feb 27 23:14:24 CET 2021
sh: 0: unknown operand
 IP téléchargée sur filtreperso.txt
sh: 0: unknown operand
Echec chargement IP depuis le site https://lists.blocklist.de/lists/all.txt
sh: 0: unknown operand
Echec chargement IP depuis le site https://feodotracker.abuse.ch/downloads/ipblocklist_aggressive.txt
25898 IP ont été traitées
25850 IP ont vu leur blocage prolongé
48 nouvelles IP ont été ajoutées
26140 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 13 secondes

 

Lien vers le commentaire
Partager sur d’autres sites

Le script semble faire correctement son travail sur SRM.
Il ne semble y avoir qu'une commande non reconnue sur SRM, mais n'affectant que l'affichage des infos de téléchargement.Bonjour,

@Diabolomagic

Il y a 16 heures, Diabolomagic a dit :

db="/etc/synoautoblock.db"
dirtmp="/tmp/autoblock_synology"

La base de donnée synoautoblock.db fait partie de SRM et ne peut être déplacée.
dirtmp indique le répertoire contenant des fichiers temp utilisés durant l’exécution du script, Ce répertoire est donc vide en final.
Un déplacement sur la carte SD  est possible mais nécessitera la modification de quelques lignes de code.

Je suis surpris du ralentissement du routeur que vous signalez car la taille de base de données est toujours du même ordre de grandeur que précédemment. Dans votre exemple 26614 + éventuellement des IP bloquées suite à des tentatives d'intrusion et des IP en liste blanche.
Vous pouvez lancer, pour test, ce script avec le paramètre  "raz" ce qui supprimera les IP  bloquées non définitivement (conserve les IP en liste blanche)

Je ne peux malheureusement pas tester ces ralentissements car je n'ai pas de SRM.

@supertex

Constatez vous également des ralentissement du routeur?

en PJ:
Une nouvelle version du script (testée sur DSM) susceptible de corriger les anomalies d'affichage des infos de téléchargement sur SRM.

autoblocksynology.sh

Lien vers le commentaire
Partager sur d’autres sites

@PPJP

Bonjour, merci de ton aide. Le script fonctionne sur le routeur, j'ai exactement le même nombre d'IP bloquées sur le routeur et sur le NAS. Je confirme ton verdict, seul l'affichage des infos en est affecté. Rien de bien méchant.

Merci à toi pour ton dernier script, je vais tester cela.

A utiliser sur SRM et DSM ou seulement sur le routeur ?

@Superthx@PPJP

Je pense avec un peu de recul que les ralentissements étaient du au service Suricata utilisé par Threat Prevention et non du au script ou à la BDD. Donc pas de soucie non plus de ce côté là.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Si vous passez par là et que vous avez un peu de temps; je souhaiterai rajouterai la liste ci dessous au script :

https://blacklist.3coresec.net/lists/all.txt

Je subit depuis quelques jours des bizarreries provenant d'IP figurant dans la liste ci-dessus mais non présente dans les 2 listes déjà présentent dans le script. Intégrer cette liste pourrait résoudre mon problème une bonne fois pour toute.

Exemple de "bizarreries" rencontrées ces derniers jours :

618392422_threatprevention.thumb.jpg.bd71c4281af511bde6e2f8ad5586a340.jpg

 

Lien vers le commentaire
Partager sur d’autres sites

@Diabolomagic

A mon avis c'est sans fin, tu ferais mieux de limiter l'accès à ton nas à quelques pays. Avant que je ne fasse cela j'avais très souvent des tentatives d'intrusion, principalement de pays asiatiques de pays de l'est ou des USA. J'ai restreint à la France, à la Belgique et à UK et depuis plus rien.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je repassais justement sur ce forum pour voir si la dernière version du script avait été validée sur SRM.

Ci-joint le script modifié selon votre demande.

Le site en question proposant 4 listes, la possibilité de choisir celle(s) à prendre en compte est prévue.

Comme d'habitude le script a été validé pour DSM mais pas pour SRM.

PS: je n'ai pas pris le temps de vérifier à quoi correspondait ces adresses " bizarres"

 

Modifié par PPJP
Lien vers le commentaire
Partager sur d’autres sites

@Jeff777

Je fais un léger HS pour te répondre, ce que tu dis est déjà fait, je ne comprend meme pas comment ces alertes sont possibles car mon NAS est normalement déjà hors de portée et le le pensais "sécurisé".

Voila une copie d'écran du FW du NAS et du Routeur.

NAS :

2007485050_fwnas.jpg.24142b9dcc90a5a6886d79be3531da93.jpg

 

ROUTEUR :

1569433789_fwrouteur.thumb.jpg.3b415d2ee99541c386acb892be3f6f63.jpg

@PPJP

Bonjour, encore une fois un grand merci pour ta réactivité et ton aide précieuse !

Pas de souci pour SRM, c'est déjà au top pour DSM !!

@PPJP

Sur le NAS fonctionne comme sur des roulettes ! Un grand Merci :


Demarrage du script autoblocksynology.sh v0.2.0: Fri Mar  5 09:34:31 CET 2021
0 IP téléchargée sur filtreperso.txt
21267 IP téléchargées sur https://lists.blocklist.de/lists/all.txt
985 IP téléchargées sur https://blacklist.3coresec.net/lists/all.txt
438 IP téléchargées sur https://feodotracker.abuse.ch/downloads/ipblocklist_aggressive.txt
22666 IP ont été traitées
21553 IP ont vu leur blocage prolongé
1113 nouvelles IP ont été ajoutées
23056 IP seront bloquées suite à cette mise à jour
Fin du script exécuté en 0mn 9s

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, Diabolomagic a dit :

Je fais un léger HS pour te répondre, ce que tu dis est déjà fait, je ne comprend meme pas comment ces alertes sont possibles car mon NAS est normalement déjà hors de portée et le le pensais "sécurisé".

Oui effectivement c'est curieux. Je ne sais pas pourquoi tu reçois ces alertes.... mais d'un autre côté si elles te sont notifiées c'est qu'elles sont bloquées non?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.