Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1735 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  [fail2ban] ban d'error

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[fail2ban] ban d'error

n°1051263
sebinfo007
Posté le 13-06-2008 à 20:43:40  profilanswer
 

bonjour,
 
je viens de me monter un serveur web et bien sur j'ai subi quelques attaques et dans mes log d'apache et plus précisément dans le fichier error.log j'ai ceci :
 

Code :
  1. [Wed Jun 11 03:45:52 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde
  2. [Wed Jun 11 03:45:53 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde2
  3. [Wed Jun 11 03:45:53 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde3
  4. [Wed Jun 11 03:45:54 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde-3.0.5
  5. [Wed Jun 11 03:45:54 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde-3.0.6
  6. [Wed Jun 11 03:45:55 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde-3.0.7
  7. [Wed Jun 11 03:45:56 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde-3.0.8
  8. [Wed Jun 11 03:45:56 2008] [error] [client 202.87.26.2] File does not exist: /var/www/horde-3.0.9
  9. [Wed Jun 11 03:45:57 2008] [error] [client 202.87.26.2] File does not exist: /var/www/mail
  10. [Wed Jun 11 03:45:58 2008] [error] [client 202.87.26.2] File does not exist: /var/www/email
  11. [Wed Jun 11 03:45:58 2008] [error] [client 202.87.26.2] File does not exist: /var/www/webmail
  12. [Wed Jun 11 03:45:59 2008] [error] [client 202.87.26.2] File does not exist: /var/www/newmail
  13. [Wed Jun 11 03:46:00 2008] [error] [client 202.87.26.2] File does not exist: /var/www/mails
  14. [Wed Jun 11 03:46:00 2008] [error] [client 202.87.26.2] File does not exist: /var/www/mailz
  15. [Wed Jun 11 04:25:32 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  16. [Wed Jun 11 04:25:32 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  17. [Wed Jun 11 04:25:33 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  18. [Wed Jun 11 04:25:33 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  19. [Wed Jun 11 04:25:33 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  20. [Wed Jun 11 04:25:33 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  21. [Wed Jun 11 04:25:34 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  22. [Wed Jun 11 04:25:34 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  23. [Wed Jun 11 04:25:34 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  24. [Wed Jun 11 04:25:34 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin
  25. [Wed Jun 11 04:25:35 2008] [error] [client 80.88.251.194] File does not exist: /var/www/site/admin


 
comme si une personne essayé d'accéder a des fichiers, comment puis je paramétre fail2ban pour qu'il bannisse les utilisateurs qui essaie d'accéder à des fichiers qui n'existe pas ?
 
merci par avance
 
Séb

mood
Publicité
Posté le 13-06-2008 à 20:43:40  profilanswer
 

n°1051328
o'gure
Modérateur
Multi grognon de B_L
Posté le 14-06-2008 à 10:26:35  profilanswer
 

Il ne faut pas sombrer dans la paranoïa et blacklister toutes les adresses IP qui ne font pas une action "conforme" à tes attentes...


---------------
Relax. Take a deep breath !
n°1051342
esox_ch
Posté le 14-06-2008 à 12:00:27  profilanswer
 

O'gure, quand qqn tente d'acceder à 25 repertoires de /var/www/* qui existent pas. Dont 10 fois en 3 secondes, je me permet sans aucun soucis de le rediriger chez les TT pendant 24h :o

Message cité 1 fois
n°1051353
clampignol
Posté le 14-06-2008 à 12:42:21  profilanswer
 

Bonjour,  
 
J'avais les mêmes problèmes et j'ai créé une règle fail2ban :
 
dans /etc/fail2ban/filter.d, j'ai mis le fichier apache-admin.conf suivant (gère les erreurs de fichier non eistants si  il y  a admin dans le nom - évite de bannir tout le monde en cas d'erreur sur un line ; ainsi que les errreurs d'authentification sur un dossier protégé par un pass):

Code :
  1. [Definition]
  3. # Option:  failregex
  4. # Notes.:  regex to match the password failure messages in the logfile. The
  5. #          host must be matched by a group named "host". The tag "<HOST>" can
  6. #          be used for standard IP/hostname matching and is only an alias for
  7. #          (?:::f{4,6}:)?(?P<host>\S+)
  8. # Values:  TEXT
  9. #
  10. failregex = [[]client <HOST>[]] user .* authentication failure
  11.             [[]client <HOST>[]] user .* not found
  12.             [[]client <HOST>[]] user .* password mismatch
  13.             [[]client <HOST>[]] File does not exist: /home/sftp/.*adm.*
  15. # Option:  ignoreregex
  16. # Notes.:  regex to ignore. If this regex matches, the line is ignored.
  17. # Values:  TEXT
  18. #
  19. ignoreregex =


 
et dans /etc/fail2ban/jail.conf j'ai ajouté avec les autres définitions :
 

Code :
  1. [apache-admin]
  3. enabled = true
  4. port    = 80
  5. filter  = apache-admin
  6. action   = iptables[name=apache-auth, port=80, protocol=tcp]
  7.           mail-whois[name=apache-admin, dest=$TONADRESSEMAIL]
  8. logpath = /var/log/apache2/error_log
  9. maxretry = 4

n°1051355
esox_ch
Posté le 14-06-2008 à 12:47:55  profilanswer
 

Oui mais là c'est sec ... Le type qui se crée un compte "admirateur" il se retrouve en tôle   [:kbchris]  

Message cité 1 fois
Message édité par esox_ch le 14-06-2008 à 12:48:50
n°1051359
clampignol
Posté le 14-06-2008 à 13:03:59  profilanswer
 

esox_ch a écrit :

Oui mais là c'est sec ... Le type qui se crée un compte "admirateur" il se retrouve en tôle   [:kbchris]  


 
Oui c'est vrai qu'admin à la place d'admi ça serait mieux... :D  Après on peut laisser plus de 4 tentatives (les gars qui scannent tous les phpmyadmin et autre sont assez persistants...).
 
Après je voie pas trop comment éviter les faux positifs dans les cas merdiques...

n°1051362
esox_ch
Posté le 14-06-2008 à 13:45:26  profilanswer
 

J'avais vu un mod qui était pas mal.. Il te permettait de bannir l'IP pendant un temps dépendant du délai entre 2 accès...
En gros, tu tente /admin => Il te redirige vers une page qui te dit que la page n'existe pas. Là tu retentes une page qui existe pas, il te dit que tu as 10sec "de ban", tu retentes avant les 10 sec, tu te manges 10 min ,...  
Du coups c'est super efficace pour les bots, mais les gens sont en général assez malins pour pas se faire bannir 250 ans..

n°1051374
e_esprit
Posté le 14-06-2008 à 14:49:37  profilanswer
 

esox_ch a écrit :

O'gure, quand qqn tente d'acceder à 25 repertoires de /var/www/* qui existent pas. Dont 10 fois en 3 secondes, je me permet sans aucun soucis de le rediriger chez les TT pendant 24h :o


Et le jour ou tu supprimes un repertoire d'un site, que t'oublies de mettre à jour les liens d'une page qui référence 10 images qui s'y trouvaient, tu dis bye bye à tes visiteurs qui passe par cette page [:volta]


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  [fail2ban] ban d'error

 

Sujets relatifs
Grub error 21 après install ubuntu, et maintenant Disk Boot Failure[ubuntu] problème grub error 18
Probleme avec Xorg et xinerama | problème TwinViewgrub error 22 [Résolu]
[Red Hat AS 3.0] Write errorGrub error 17, moyens limités pour réparer
besoin d'aide fatal error mondoarchivepb config fail2ban
Installation ArtistX - Error 15 File not foundFatal server error: no screens found-RADEON 9200-driver fglrx
Plus de sujets relatifs à : [fail2ban] ban d'error

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.057 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR