Instalar y configurar Fail2ban

jueves, 29 de mayo de 2014 | Publicado por el-brujo

Fail2ban ("si fallas te baneo") es una aplicación escrita en Python para la prevención de

intrusos en un sistema, permite bloquear y avisar de las conexiones remotas que intentan
ataques por fuerza bruta (Brutus, TCH-Hydra, Medusa, ncrack) o acceso no
autorizado. Fail2ban no sólo sirve para detectar los típicos ataques de fuerza bruta a servicios
tan populares como ssh (Secure Shell) o FTP, también admite reglas mediante expresiones
regulares para detectar intrusiones y ataques en Apache (error_log y mod_security), MySQL,
Bind (named) .

Fail2Ban utiliza Python para revisar los registros de acceso y detectar los intentos de intrusión
por fuerza bruta, creando reglas en el archivo de iptables para bloquear el acceso a ciertas
IP. En ocasiones, si miramos el registro de intentos de acceso SSH o FTP, veremos que es
enorme, pudiéndose producir ataques incluso cada segundo si no tomamos las medidas
adecuadas.

Su función principal es asegurar un servidor del siguiente modo:

1. Evitando accesos indeseados a nuestro equipo o servidor.

2. Evitando ataques de fuerza bruta para que un tercero averigüe nuestra
contraseña o tumbe el servidor.
Fail2ban viene preconfigurado de forma predeterminada para poder usar en multitud de
servicios como por ejemplo los siguientes:

1. SSH
2. Servidores web como por ejemplo lighttpd, nginx y Apache
3. Servidores ftp como por ejemplo vsftpd, proftpd, pure-ftpd. wuftpd
4. En servidores de correo electrónico como por ejemplo Postfix, exim, squirrelmail,
Courier, dovecot, sasl, etc.
5. Servicios de proxy como Squid.
6. Otros servicios como Asterisk, FreeSWITCH, Drupal, WordPress, etc.
7. etc.
Fail2ban monitoriza y lee los logs del servidor en busca de patrones:

 /var/log/auth.log
 /var/registro/seguro
  etc.

instalacion
CentOS/Red Hat (hay que usar un repositorio EPEL o tipo atrpms, rpmfusion, rpmforge, para
una versión actualizada)

sudo yum instalar epel-release

yum instalar fail2ban

sudo systemctl habilitar fail2ban 

Debian/Ubuntu:

apt-get actualizar && apt-get -y actualizar

apt-get install fail2ban

Manual de instalación desde las fuentes (código fuente)

cd /usr/src
wget https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.8.13
tar xvzf fail2ban-0.8.13.tar.gz
cd fail2ban-0.8.13
python setup.py install
cp /usr/src/fail2ban-0.8.13/files/redhat-initd /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban

Repositorio fail2ban
https://github.com/fail2ban/fail2ban

clon de git https://github.com/fail2ban/fail2ban.git

cd fail2ban
sudo python setup.py instalar  

Arrancar el servicio:
inicio del servicio fail2ban

Ten en cuenta que el script de inicio / servicio del sistema no se instala automáticamente.  Para
habilitar fail2ban como un servicio automático, simplemente copie el script para su distribución
desde el directorio de archivos a /etc/init.d. Ejemplo (en un sistema basado en Debian):
archivos cp/debian-initd /etc/init.d/fail2ban
actualización-rc.d fail2ban valores predeterminados
inicio del servicio fail2ban

Compruebe si está en ejecución:

fail2ban-cliente -V 

Para ver si esta realmente funcionando y ver las jaulas:

service fail2ban status
Fail2ban (pid 21740) se está ejecutando...
Estado
|- Número de cárcel: 1
`- Lista de cárcel: proftpd-iptables
 Compruebe si responde:

 fail2ban-client ping
El servidor respondió: pong

Nota: Desde v0.10, fail2ban admite la coincidencia de direcciones IPv6.

Estructura de Directorios Fail2ban

Fail2abn se instala en:

/etc/fail2ban

Archivo de configuración de jaulas (la versión personalizable de jail.conf) 

/etc/fail2ban/jail.local

Filtros
/etc/fail2ban/filtro.d/

La función de los filtros es definir las expresiones regulares para detectar autenticaciones
erróneas o ataques a nuestro equipo o servicio.
Una vez definida una expresión regular se irá comprobando que esta expresión no apareció en
ninguno de los registros de autenticación de nuestros servicios. En el caso que la expresión
regular apareciera en los logs se contabilizará un intento fallido de autenticación.
Si pretendemos usar los servicios predeterminados de fail2ban no será necesario modificar ni
crear ningún filtro. 

Acciones:
/etc/fail2ban/action.d/

En esta ruta se guardan la totalidad de scripts que definen diferentes tipos de acciones a aplicar
cuando se detecta un intento de ataque, se arranca alguna de las jaulas, etc.
En principio no tendremos que modificar ni configurar el parámetro de este apartado. Fail2ban
ya trae multitud de acciones predefinidas. 

Integración con la API de AbuseIPDB

AbuseIPDB es un proyecto dedicado a ayudar a los administradores de sistemas y webmasters a

verificar e informar las direcciones IP que están involucradas en actividades maliciosas como
spam, intentos de pirateo, ataques DDoS, etc.
Proporcionan una API gratuita para informar sobre direcciones IP maliciosas detectadas en sus
sistemas y para verificar las direcciones IP en busca de actividad maliciosa informada.

La capacidad de denunciar direcciones IP abusivas directamente a AbuseIPDB se agregó al

repositorio principal de Fail2Ban en la v0.10.0 (enero de 2017)

En el fichero de configuración;
/etc/fail2ban/action.d/abuseipdb.conf

Debes agregar dos parámetros obligatorios:

 Clave API --> abuseipdb_apikey="XXX"

 Categoría Abuso  --> abuseipdb_category="XX" (ejemplo 18 (Ataques de fuerza
bruta) 22 (SSH)
Añadir en la jaula el action nuevo:

[ssh]
habilitado = verdadero
acción = iptables[nombre=SSH, puerto=22, protocolo=tcp]
abusoipdb[abuseipdb_apikey="XXX", abuseipdb_category="18,22"]

Ejemplo añadir informe mod_security2 de Apache

[modsec]
habilitado =
filtro verdadero =
acción modsec = abuseipdb[abuseipdb_apikey=xxx, abuseipdb_category=15,21]
iptables-multiport[name=ModSec, port="http,https"]
logpath = /var/log/httpd/modsec_audit. log
bantime = 86400
maxretry = 3

/etc/fail2ban/filter.d/apache-modsecurity.conf

# Filtro Fail2Ban apache-modsec

#

[INCLUYE]

# Leer prefijos comunes.  Si hay personalizaciones disponibles, léalas de

# apache-common.local
before = apache-common.conf

[Definition]

failregex = ^%(_apache_error_client)s(?: \[client [^\]]+\])?  ModSecurity:\s+(?:\[(?:\

w+ \"[^\"]*\"|[^\]]*)\]\s*)*Acceso denegado con el código [45]\d\d

ignoreregex =

# https://github.com/SpiderLabs/ModSecurity/wiki/ModSecurity-2-Data-Formats
# Autor: Daniel Black
# Sergey G. Brester alias sebres (revisión, optimización)

Reiniciar para cargar la nueva configuración:

recarga del cliente fail2ban 
Instrucciones completas

 https://www.abuseipdb.com/fail2ban.html
Ejemplo de reportes automaticos:
 https://www.abuseipdb.com/user/52197

 Fichero Configuración principal /etc/fail2ban/fail2ban.conf

[Definición]
# Opción: nivel de registro
# Notas.: Configure la salida del nivel de registro.
# 1 = ERROR
# 2 = WARN
# 3 = INFO
# 4 = DEBUG
# Valores: NUM Predeterminado: 3
#
loglevel = 3
# Opción: logtarget
# Notas: Establecer el destino del registro. Esto podría ser un archivo, SYSLOG, STDERR o
STDOUT.
# Solo se puede especificar un destino de registro.
# Si cambia logtarget del valor predeterminado y está
# usando logrotate, también ajuste o deshabilite la rotación en el
# archivo de configuración correspondiente
# (por ejemplo, /etc/logrotate.d/fail2ban en sistemas Debian)
# Valores: archivo STDOUT STDERR SYSLOG Predeterminado: /var/log/fail2ban.log
#
logtarget = SYSLOG
# Opción: socket
# Notas: Establecer el archivo de socket.  Esto se utiliza para comunicarse con el daemon.  # No
elimine este archivo cuando se ejecute Fail2ban.  No será posible
# comunicarse con el servidor después.
# Valores: ARCHIVO Predeterminado: /var/run/fail2ban/fail2ban.sock
#
socket = /var/run/fail2ban/fail2ban.sock
# Opción: pidfile
# Notas.: Establecer el archivo PID.  Esto se usa para almacenar el ID de proceso del
servidor #fail2ban.
# Valores: ARCHIVO Predeterminado: /var/run/fail2ban/fail2ban.pid
#
pidfile = /var/run/fail2ban/fail2ban.pid

Fichero Configuración "Jaulas" (Jail) /etc/fail2ban/jail.conf

Se puede especificar parámetros como bantime en días (d) semanas (w)

Ejemplo:
tiempo de baneo = 3d

 ¿años?, ¿sí?, ¿sí?

  ¿meses?, ¿mon?
 semanas?, wee?, ww?
 días?, da, dd?
 horas?, hou?, hh?
 minutos?, min?, mm?
 ¿segundos?, ¿seg?, ¿ss?
Fichero configuración (antes jail.conf)
/etc/fail2ban/jail.local 
[DEFAULT]
# "ignoreip" puede ser una dirección IP, una máscara CIDR o un servidor DNS.  Fail2ban no
# prohibirá un host que coincida con una dirección en esta lista.  Se pueden
# definir varias direcciones usando un separador de espacios.
ignoreip = 127.0.0.1/8 192.168.0.1/24
# "bantime" es el número de segundos que un host está baneado.
# 1 hora
bantime = 3600
# 10 minutos
#bantime = 600
# Un host está prohibido si ha generado "maxretry" durante los últimos "findtime"
# segundos.
findtime = 600
# "maxretry" es el número de fallas antes de que un host sea baneado.
maxretry = 5
# "backend" especifica el backend utilizado para obtener la modificación de archivos.
# Las opciones disponibles son "pyinotify", "gamin", "polling" y "auto".
# Esta opción también se puede anular en cada cárcel.
#
# pyinotify: requiere que pyinotify (un monitor de alteración de archivos) esté instalado.
# Si pyinotify no está instalado, Fail2ban usará auto.
# gamin: requiere la instalación de Gamin (un monitor de alteración de archivos).
# Si Gamin no está instalado, Fail2ban usará auto.
# sondeo: utiliza un algoritmo de sondeo que no requiere bibliotecas externas.
# auto: intentará usar los siguientes backends, en orden:
# pyinotify, gamin, polling.
backend = auto
# "usedns" especifica si las cárceles deben confiar en los nombres de host en los registros,
# advertir cuando se realizan búsquedas de DNS o ignorar todos los nombres de host en los
registros
#
# sí: si se encuentra un nombre de host, se realizará una búsqueda de DNS.
# advertir: si se encuentra un nombre de host, se realizará una búsqueda de DNS,
# pero se registrará como una advertencia.
# no: si se encuentra un nombre de host, no se usará para prohibir,
# pero se registrará como información.
usedns = warn

# Esta cárcel corresponde a la configuración estándar en Fail2ban 0.6.

# La acción mail-whois envía un correo electrónico de notificación con una solicitud de whois
# en el cuerpo.
[ssh-iptables]
habilitado =
filtro verdadero =
acción sshd = iptables[nombre=SSH, puerto=ssh, protocolo=tcp]
           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath = /var/log/secure
maxretry = 5
[proftpd-iptables]
enable = true
filter = proftpd
action = iptables[name=ProFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=ProFTPD, dest=webmaster@elhacker.net]
logpath = /var/log/proftpd/proftpd.log
maxretry = 6

Ejemplo de lo que buscará Fail2ban en la jaula de SSH

gato /var/log/seguro | grep 'Contraseña fallida' |  ordenar |  uniq -c

Directivas
 bantime = Número de segundos en el cual una dirección IP se prohibió (10 min
por defecto).
 findtime = Cantidad de tiempo entre intentos de inicio de sesión, antes de que se
elimine el host. (predeterminado 10 min).
 maxretry = Número de intentos que deben realizarse antes de que se aplique una
prohibición. (por defecto 3 intentos).
El resto de parámetros de la sección los adaptaremos en función de nuestras necesidades.  El
significado de los parametros que nos podemos encontrar dentro de una seccion es el siguiente:

 enable = Con los valores true y false activamos y desactivamos la protección que
ofrece fail2ban para un determinado servicio.
 port = Definición de los puertos en que están trabajando los servicios que
queremos proteger
 filter = Se define el nombre del filtro a aplicar para detectar intentos de
autenticación fallidos. Para ver la totalidad de los filtros disponibles se puede visitar
la ubicación /etc/fail2ban/filter.
 logpath = Definición del log a monitorizar para detectar los intentos fallidos de
autenticación.
 maxretry =Número de intentos de autenticación máximos fallidos antes de aplicar
una acción de bloqueo.
 action =Para definir las acciones de bloqueo que se utilizarn en cada uno de los
servicios que queremos proteger. La totalidad de las acciones disponibles se
encuentran en la ubicación /etc/fail2ban/action.d
 findtime = Definimos el tiempo que ha transcurrido para que el contador de
intentos fallidos de una determinada IP se resetee.
 bantime = Definimos el tiempo en segundos que queremos bloquear una IP
determinada. Normalmente un valor de 600 segundos es más que apropiado.
Nota: Si la sección de un servicio no dispone de los parámetros incluidos en la tabla, entonces
toman se toman los parámetros por defecto configurados en la sección [DEFAULT].
A continuación, dentro de la sección [ACTIONS] localizamos y configuramos los siguientes
parámetros del fichero de configuración:
Parámetro a configurar para recibir avisos por e-mail
  destemail =Introducimos la dirección de correo electrónico de gmail, hotmail, etc
en la que queremos recibir los avisos.
 sendername = En este apartado figurará el nombre de la persona o servicio que
nos proporcionará el correo electrónico. En mi caso dejo el valor por defecto que
es:Fail2Ban
 sender = En el apartado sender introducimos la dirección con la que fail2ban
originaron los emails. Como vimos al inicio de este apartado en mi caso tengo que
introducir: fail2ban@elhacker.net
 mta =Tenemos que asegurar que este parámetro sea: sendmail
 action = Dentro del archivo de configuración encontrará varios valores para este
campo. Para que se envíen las notificaciones podemos usar los siguientes valores:
%(action_mw)so %(action_mw)s
Una vez modificados la totalidad de parámetros guardamos los cambios y salimos del
fichero. Para que los cambios se hagan efectivos ejecutamos el siguiente comando para reiniciar
fail2ban.

También podemos usar (unir) fail2ban para banear ip automáticamente usando la API v2 de
CloudFlare. Encontrarás algunos manuales al respecto en inglés. Recuerda usar siempre la API
v2, porque la API v1 no funciona. Por lo que poco que he leído se pueden banear hasta 5.000
ip's (aunque el firewall son solo 20 reglas) usan  IP Access Rules  ya que el límite es mucho
mayor

Filtros de las Jails (Jaulas, Cárcel) /etc/fail2ban/filter.d

Filtros para

 3proxy.conf
 apache-auth.conf
 apache-badbots.conf
 apache-botsearch.conf
 apache-common.conf
 apache-falsogooglebot.conf
 apache-modsecurity.conf
 apache-nohome.conf
 apache-noscript.conf
 apache-overflows.conf
 apache-pass.conf
 apache-shellshock.conf
 assp.conf
 asterisco.conf
 bitwarden.conf
 botsearch-common.conf
 centreon.conf
 común.conf
 counter-strike.conf
 courier-auth.conf
 courier-smtp.conf
 cyrus-imap.conf
 directadmin.conf
 domino-smtp.conf
 palomar.conf
 dropbear.conf
 drupal-auth.conf
 ejabberd-auth.conf
 exim-common.conf
 exim-spam.conf
 exim.conf
 freeswitch.conf
 froxlor-auth.conf
 gitlab.conf
 grafana.conf
 groupoffice.conf
 gssftpd.conf
 guacamole.conf
 haproxy-http-auth.conf
 horda.conf
 kerio.conf
 lighttpd-auth.conf
 mongodb-auth.conf
 monit.conf
 murmurar.conf
 mysqld-auth.conf
 nagios.conf
 nombrado-rechazado.conf
 nginx-bad-request.conf
 nginx-botsearch.conf
 nginx-http-auth.conf
 nginx-limit-req.conf
 nsd.conf
 openhab.conf
 openwebmail.conf
  oracleims.conf
 pam-generic.conf
 perdición.conf
 php-url-fopen.conf
 phpmyadmin-syslog.conf
 portsentry.conf
 postfix.conf
 proftpd.conf
 puro-ftpd.conf
 qmail.conf
 reincidente.conf
 roundcube-auth.conf
 compartir pantallad.conf
 selinux-common.conf
 selinux-ssh.conf
 sendmail-auth.conf
 sendmail-rechazar.conf
 tamiz.conf
 bofetada.conf
 softethervpn.conf
 sogo-auth.conf
 solid-pop3d.conf
 calamar.conf
 squirrelmail.conf
 sshd.conf
 stunnel.conf
 suhosin.conf
 tine20.conf
 traefik-auth.conf
 uwimap-auth.conf
 vsftpd.conf
 webmin-auth.conf
 wuftpd.conf
 xinetd-fail.conf
 znc-adminlog.conf
 zoneminder.conf 

Acciones a tomar /etc/fail2ban/action.d

 abusoipdb.conf
 apf.conf
 badips.conf
 badips.py
 blocklist_de.conf
 bsd-ipfw.conf
 cloudflare.conf
 quejarse.conf
 dshield.conf
 ficticio.conf
 firewallcmd-todos los puertos.conf
 firewallcmd-common.conf
 firewallcmd-ipset.conf
 firewallcmd-multipuerto.conf
 firewallcmd-nuevo.conf
 firewallcmd-rich-logging.conf
 firewallcmd-rich-rules.conf
 helpers-common.conf
 hostsdeny.conf
 ipfilter.conf
 ipfw.conf
 iptables-allports.conf
 iptables-common.conf
 iptables-ipset-proto4.conf
 iptables-ipset-proto6-allports.conf
 iptables-ipset-proto6.conf
 iptables-multipuerto-log.conf
 iptables-multipuerto.conf
 iptables-nuevo.conf
 iptables-xt_recent-echo.conf
 iptables.conf
 correo-buffered.conf
 correo-whois-common.conf
 correo-whois-lines.conf
 correo-whois.conf
 correo.conf
 mynetwatchman.conf
 netscaler.conf
  nftables-allports.conf
 nftables-multipuerto.conf
 nftables.conf
 nginx-bloque-mapa.conf
 npf.conf
 nsupdate.conf
 osx-afctl.conf
 osx-ipfw.conf
 pf.conf
 ruta.conf
 sendmail-buffered.conf
 sendmail-común.conf
 sendmail-geoip-lines.conf
 sendmail-whois-ipjailmatches.conf
 sendmail-whois-ipmatches.conf
 sendmail-whois-lines.conf
 sendmail-whois-coincidencias.conf
 sendmail-whois.conf
 enviarcorreo.conf
 Shorewall-ipset-proto6.conf
 Shorewall.conf
 SMTP.py
 simbiosis-lista negra-todos los puertos.conf
 ufw.conf
 xarf-login-ataque.conf

Informes syslog
28 de mayo 12:09:34 ns2 fail2ban.jail: INFO Cárcel 'proftpd-iptables' detenido
28 de mayo 12:09:35 ns2 fail2ban.server: INFO Saliendo de Fail2ban
28 de mayo 12:09:36 ns2 fail2ban.server: INFO Cambio de registro destino a SYSLOG para
Fail2ban v0.8.10
28 de mayo 12:09:36 ns2 fail2ban.jail : INFO Creando nueva cárcel 'proftpd-iptables'
28 de mayo 12:09:36 ns2 fail2ban.jail : INFO Jail 'proftpd-iptables' usa pyinotify
28 de mayo 12:09:36 ns2 fail2ban.jail: INFO Se inició el backend 'pyinotify'
28 de mayo 12:09:36 ns2 fail2ban.filter: INFO Archivo de registro agregado = /var/log/auth.log
28 de mayo 12:09:36 ns2 fail2ban.filter: INFO Set maxRetry = 6
28 de mayo 12:09:36 ns2 fail2ban.filter: INFO Set findtime = 600
28 de mayo 12:09:36 ns2 fail2ban.actions: INFO Set banTime = 3600
28 de mayo 12:09:36 ns2 fail2ban.jail: INFO Jail 'proftpd-iptables' comenzó

 
Ejemplos
Reporte ip baneada:

28 de mayo 15:56:13 ns2 fail2ban.actions: ADVERTENCIA [proftpd-iptables] Ban 195.70.62.71

28 de mayo 16:56:14 ns2 fail2ban.actions: ADVERTENCIA [proftpd-iptables] Unban
195.70.62.71
Ver Regla en iptables (acción iptables)
iptables -L
mejor:
estado de servicio de iptables

Resultado:

fail2ban-ProFTPD tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

Cadena fail2ban-ProFTPD (1 referencias)

num target prot opt fuente destino
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0
IP baneada:
 
Cadena fail2ban-ProFTPD (1 referencias)
num target prot opt origen destino
1 RECHAZAR todo: 195.70.62.71 0.0.0.0/0 rechazar con puerto icmp
inalcanzable
 
Para borrar la última ip baneada:
# iptables -D fail2ban-  ProFTPD 1

Para ver el estado:

fail2ban-client status proftpd-iptables

Estado de la cárcel: proftpd-iptables
|- filtro
| |- Lista de archivos: /var/log/secure
| |- Actualmente falló: 0
| `- Total fallado: 384
`- acción
   |- Actualmente prohibido: 2
   |  `- Lista de IP: 85.25.72.71 175.44.5.140
   `- Total prohibido: 33

 
Si aparecen errores con iptables en el registro:

fail2ban.actions.action: ERROR iptables -N fail2ban-SSH

 
#012
 
iptables -A fail2ban-SSH -j RETURN
 
#012
 
iptables -I INPUT -p tcp --dport ssh -j fail2ban-SSH devolvió 300

Es debido a los permisos aplicados por SELinux

restaurarcon -R -v /sbin/

Informe por correo electrónico (acción sendmail-whois.conf)

 Hola,

la IP 195.70.62.71 acaba de ser prohibida por Fail2Ban después de

6 intentos contra ProFTPD.

Aquí hay más información sobre 195.70.62.71 :

[Consultando whois.ripe.net  ]
[ whois.ripe.net  ]
% Este es el servicio de consulta de la base de datos RIPE.
% Los objetos están en formato RPSL.
%
% La base de datos RIPE está sujeta a términos y condiciones.
% Consulte  http://www.ripe.net/db/support/db-terms-conditions  . pdf

% Nota: esta salida ha sido filtrada.

% Para recibir el resultado de una actualización de la base de datos, utilice el indicador "-B".

% Información relacionada con '195.70.62.0 - 195.70.62.255'

El % de contacto de abuso para '195.70.62.0 - 195.70.62.255' es ' net-admin@datanet.hu '

inetnum: 195.70.62.0 - 195.70.62.255

netname: INTERWARE
descr: InterWare Inc.
descr: IPs para el servidor Hosting
country: HU
admin -c: IWNA1-RIPE
tech-c: IWNA1-RIPE
comentarios: rev-srv:          ns1.interware.hu
comentarios: rev-srv:          ns2.interware.hu
estado: ASIGNADO PA
mnt-by: AS8358-MNT
fuente: RIPE # Comentarios filtrados
: atributo rev-srv obsoleto por RIPE NCC el 09/02/2009

Rol: Administración de red de InterWare

dirección: InterWare Inc.
dirección: Victor Hugo u. 18-22.
dirección: H-1132 Budapest
dirección: Hungría
teléfono:            +36 1 4525300
fax-no:          +36 1 4525301
admin-c: ZR1-RIPE
admin-c: AN845-RIPE
tech-c: MK1117-RIPE
tech-c: AN845- RIPE
tech-c: ZR1-RIPE
nic-hdl: IWNA1-RIPE
mnt-by: AS8358-MNT
org: ORG-IL7-RIPE
comentarios: ------------------- -----------
---------------
comentarios: envíe todas las quejas de abuso y spam a:
comentarios:          noc@interware.hu
comentarios:          abuse@interware.hu
comentarios: -------- ---------------------------- ---------------
fuente: RIPE # Filtrado

% Información relacionada con '  195.70.32.0 /19AS5588 '

ruta:            195.70.32.0/19
descr: GTS Hungría Ltd.
descr: HU
origen: AS5588
mnt-by: AS8358-MNT
fuente: RIPE # Filtrado

% Información relacionada con '  195.70.32.0/19AS8358  '

ruta:            195.70.32.0 /19

descr: InterWare Inc.
descr: HU
origin: AS8358
mnt-by: AS8358-MNT
source: RIPE # Filtered

% Esta consulta fue atendida por RIPE Database Query Service versión 1.73.1 (DBC-WHOIS3)

Saludos,

Fail2Ban