fail2ban / iptables contre le scan de failles

Discussion dans 'Administration d'un site Web' créé par frenchhorn, 8 Juin 2015.

  1. frenchhorn
    frenchhorn WRInaute passionné
    Inscrit:
    8 Février 2007
    Messages:
    1 142
    J'aime reçus:
    3
    Bonjour

    j'ai bien entendu des recherches de failles sur mon serveur et mes sites (failles wordpress, etc...) et cela pourri mes log et tous ce qui s'en suit. Bon, ok j'utilise un framework perso, donc les scans de failles ne mènent à nul part, mais bon...

    je ne suis pas un exepert des regex, et je voudrais bloquer via fail2ban ce genre de scan:

    Code:
    /FCKeditor/editor/filemanager/connectors/asp/connector.asp
/blog/wp-content/plugins/fckeditor-for-wordpress-plugin/fckeditor/editor/fckeditor.html
/includes/uploadify/uploadify.swf

    - existe t il des regex tout faites pour cela?
    - des tutos au sujet des regex adaptées à fail2ban?

    merci de m'avoir lu
     
    #1 frenchhorn, 8 Juin 2015
  2. salva
    salva WRInaute accro
    Inscrit:
    16 Avril 2006
    Messages:
    3 577
    J'aime reçus:
    0
    Salut, suivant l'OS, la syntaxe varie pour les regex.

    En français, tu peux suivre les liens ci-dessous.
    http://www.fail2ban.org/wiki/index.php/FAQ_french
    http://j2c.org/informatique/linux/fail2ban.php

    Sur une gentoo ça donne ceci
    Pour le jail.conf
    Code:
    [apache-nom_fitre]

enabled  = true
filter   = apache-nom_fitre
action   = iptables-multiport[name=nom_fitre, port="http,https"]
           mail-buffered[name=nom_fitre, lines=5, dest=fail2ban@ndd.tld]
logpath  = /home/log/httpd/http_log
bantime  = 86400
findtime = 3600
maxretry = 1
    En exemple, il y a deux regex : la première pour ton problème et la seconde pour activer le filtre en fonction d'une chaîne de caractère (ou plusieurs) dans l'url. Le filtre écoute http ou https.
    Code:
    #<HOST> - - nom_filtre

[Definition]

# Option:  failregex
# Values:  TEXT
failregex = ^<HOST> -.*"(GET|POST) \/includes\/uploadify\/uploadify\.swf.*".* 
            ^<HOST> -.*"(GET|POST) .*(mot_a_détecter|autre_mot_a_détecter) 

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT

ignoreregex =
     
    #2 salva, 8 Juin 2015
(Vous devez vous identifier ou vous inscrire pour poster ici.)
Chargement...
Similar Threads - fail2ban iptables scan Forum Date
Merci de tester ma protection fail2ban ipv6 ? Administration d'un site Web 17 Août 2014
[INFO] fail2ban vs crawler: attention ban Administration d'un site Web 3 Janvier 2011
Serveur innaccessible (iptables) Administration d'un site Web 16 Août 2016
Bloquer les SCAN BOTS, SPAM BOTS, aspirateurs, etc sur le serveur (iptables, etc...) Administration d'un site Web 12 Mai 2012
Remise à 0 de iptables automatique? Administration d'un site Web 17 Janvier 2012
Iptables & ssh Administration d'un site Web 10 Mai 2011