1. Pour Black Friday on FRACASSE les prix ⚡ avec RM Tech Découverte
    Rejeter la notice

fail2ban / iptables contre le scan de failles

Discussion dans 'Administration d'un site Web' créé par frenchhorn, 8 Juin 2015.

  1. frenchhorn
    frenchhorn WRInaute passionné
    Inscrit:
    8 Février 2007
    Messages:
    1 132
    J'aime reçus:
    3
    Bonjour

    j'ai bien entendu des recherches de failles sur mon serveur et mes sites (failles wordpress, etc...) et cela pourri mes log et tous ce qui s'en suit. Bon, ok j'utilise un framework perso, donc les scans de failles ne mènent à nul part, mais bon...

    je ne suis pas un exepert des regex, et je voudrais bloquer via fail2ban ce genre de scan:

    Code:
    /FCKeditor/editor/filemanager/connectors/asp/connector.asp
    /blog/wp-content/plugins/fckeditor-for-wordpress-plugin/fckeditor/editor/fckeditor.html
    /includes/uploadify/uploadify.swf

    - existe t il des regex tout faites pour cela?
    - des tutos au sujet des regex adaptées à fail2ban?

    merci de m'avoir lu
     
  2. salva
    salva WRInaute accro
    Inscrit:
    16 Avril 2006
    Messages:
    3 577
    J'aime reçus:
    0
    Salut, suivant l'OS, la syntaxe varie pour les regex.

    En français, tu peux suivre les liens ci-dessous.
    http://www.fail2ban.org/wiki/index.php/FAQ_french
    http://j2c.org/informatique/linux/fail2ban.php

    Sur une gentoo ça donne ceci
    Pour le jail.conf
    Code:
    [apache-nom_fitre]
    
    enabled  = true
    filter   = apache-nom_fitre
    action   = iptables-multiport[name=nom_fitre, port="http,https"]
               mail-buffered[name=nom_fitre, lines=5, dest=fail2ban@ndd.tld]
    logpath  = /home/log/httpd/http_log
    bantime  = 86400
    findtime = 3600
    maxretry = 1
    En exemple, il y a deux regex : la première pour ton problème et la seconde pour activer le filtre en fonction d'une chaîne de caractère (ou plusieurs) dans l'url. Le filtre écoute http ou https.
    Code:
    #<HOST> - - nom_filtre
    
    [Definition]
    
    # Option:  failregex
    # Values:  TEXT
    failregex = ^<HOST> -.*"(GET|POST) \/includes\/uploadify\/uploadify\.swf.*".* 
                ^<HOST> -.*"(GET|POST) .*(mot_a_détecter|autre_mot_a_détecter) 
    
    # Option:  ignoreregex
    # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    # Values:  TEXT
    
    ignoreregex =
     
Chargement...
Similar Threads - fail2ban iptables scan Forum Date
Merci de tester ma protection fail2ban ipv6 ? Administration d'un site Web 17 Août 2014
[INFO] fail2ban vs crawler: attention ban Administration d'un site Web 3 Janvier 2011
Serveur innaccessible (iptables) Administration d'un site Web 16 Août 2016
Bloquer les SCAN BOTS, SPAM BOTS, aspirateurs, etc sur le serveur (iptables, etc...) Administration d'un site Web 12 Mai 2012
Remise à 0 de iptables automatique? Administration d'un site Web 17 Janvier 2012
Iptables & ssh Administration d'un site Web 10 Mai 2011