Fail2ban
From Tuxunix
Contents
Fail2ban
Fail2ban est un outils permettant via des regex de bloquer avec iptables des utilisateurs ou robots malintentionné ^^
Status fail2ban sur une régle particulière
#> fail2ban-client status apache-xmlrpc Status for the jail: apache-xmlrpc |- filter | |- File list: /var/log/apache2/other_vhosts_access.log /var/log/apache2/www.domain.fr_access.log /var/log/apache2/access.log | |- Currently failed: 1 | `- Total failed: 42 `- action |- Currently banned: 0 | `- IP list: `- Total banned: 2
Vérifier la validité d'une régle
- fichier de log : "/var/log/apache2/access.log"
- fichier de regle : "/etc/fail2ban/filter.d/apache-wp.conf"
fail2ban-regex "fichier de log" "fichier de regle"
Running tests ============= Use regex file : /etc/fail2ban/filter.d/apache-wp.conf Use log file : /var/log/apache2/access.log Results ======= Failregex |- Regular expressions: | [1] ^<HOST> .*(POST|GET) .*wp-login\.php.* | `- Number of matches: [1] 155 match(es) Ignoreregex |- Regular expressions: | `- Number of matches: Summary ======= Addresses found: [1] 176.126.252.11 (Sun Nov 01 09:39:45 2015) 62.102.148.67 (Sun Nov 01 09:39:46 2015)
Stop hack wordpress (xmlrpc)
- Creer le fichier suivant : /etc/fail2ban/filter.d/apache-xmlrpc.conf
[Definition] failregex = ^<HOST> .*POST .*xmlrpc\.php.* ignoreregex =
- Ensuite dans le fichier : /etc/fail2ban/jail.conf
[apache-xmlrpc] enabled = true port = http,https filter = apache-xmlrpc logpath = /var/log/*access.log maxretry = 3
Relancer fail2ban : service fail2ban restart
Stop hack wordpress (wp-login)
- Ajouter le fichier suivant : /etc/fail2ban/filter.d/apache-wp.conf
[Definition] failregex = ^<HOST> .*(POST|GET) .*wp-login\.php.* ignoreregex =
- Ensuite dans le fichier : /etc/fail2ban/jail.conf
[apache-wp] enabled = true port = http,https filter = apache-wp logpath = /var/log/*access.log maxretry = 3
Envoie de mail lors d'un ban
- Fichier "jail.conf" à modifier :
action = %(action_)s
par
action = %(action_mwl)s
