自动上报恶意IP · 威胁情报共享

自动化 fail2ban 封禁 IP 上报 AbuseIPDB 并推送 Telegram 告警，提升服务器安全防护与威胁情报贡献。

基本信息

• 技能名称?fail2ban Reporter
• 中文名称?自动上报恶意IP · 威胁情报共享
• 作者?jestersimpps
• 分类?专业技能
• 版本?1.0.0
• 标签?server-security, threat-intelligence, fail2ban, abuseipdb, intrusion-detection, bash, automation, ssh

使用方法

使用说明
核心功能
fail2ban-reporter 是一款服务器安全自动化工具，核心功能围绕 fail2ban 入侵防御系统的封禁日志展开：
实时监控 ：通过 fail2ban action 机制，在 IP 被封禁时自动触发上报流程
威胁情报共享 ：将攻击者 IP 自动提交至 AbuseIPDB，标注为 SSH 暴力破解类别
多渠道告警 ：支持 Telegram 即时通知，便于运维人员第一时间响应
批量处理 ：可手动对历史封禁 IP 进行批量补报
显著优点

1. 零延迟响应 ：action 触发机制确保攻击事件秒级上报，无需轮询等待
2. 社区协同防御 ：贡献至 AbuseIPDB 的全球威胁数据库，帮助其他管理员识别恶意 IP
3. 轻量无侵入 ：纯 Bash 脚本实现，依赖 standard Unix 工具链，资源占用极低
4. 密钥管理规范 ：集成 pass 密码管理器，API 密钥本地加密存储
   潜在局限
   单一上报渠道 ：仅支持 AbuseIPDB，未覆盖 VirusTotal、GreyNoise 等其他情报平台
   分类固定 ：自动标记为 SSH 暴力破解，对其他攻击类型（如 HTTP 探测、邮件滥用）需手动调整
   Telegram 依赖 ：通知功能需预先配置 Telegram Bot，增加初期 setup 复杂度
   日志持久化 ：本地日志路径固定为 /var/log/abuseipdb-reports.log ，缺乏配置灵活性
   适用人群
   运行 SSH 服务的 Linux 服务器管理员
   参与威胁情报共享的安全从业者
   需要自动化安全响应流程的 DevOps/SRE 团队
   常规风险提示
   API 速率限制 ：AbuseIPDB 免费账户有每日上报配额，高频封禁场景需关注限额
   误报风险 ：fail2ban 规则配置不当可能导致合法用户被误封并上报
   日志敏感信息 ：上报日志可能包含攻击者 IP 与尝试的用户名，需确保日志文件权限控制
   第三方服务依赖 ：AbuseIPDB 服务可用性直接影响上报成功率