Server mit Fail2Ban absichern

aber die 200 steht bei den zugriffen wo der Kunde gesperrt war
kunde ist leider nicht bereit mit zu erklären was er so alles gemacht hat, um evtl nachvollziehen zu können wie es zu vermehrten aufrufen von login.php kommt
ich konnte es mit meinen versuchen nicht so weit bringen das login.php mehr als 1 mal und zwar beim einlogen auftuacht...

Hallo,

also bei mir scheint es zu funktionieren. Die normalen Logins gehen und die vielen Versuche bei den Attacken (hatte seit gestern auf 2 seiten Angriffe) werden geblockt.

Ich habe nur das problem, dass Fail2Ban die access_log nicht lesen kann, weil ich diese im /var/log/* alle liegen habe. jetzt muss ich schauen dass ich nach jeder log rotation ein "chown www:www" mache...

Aber ansonsten scheint es zu klappen!

Versuche doch mal (falls noch nicht geschehen) in der fail2ban. conf zu dieser Regel den User und die Gruppe root einzutragen. Meiner Meinung nach müsste das so funktionieren.

also auf allen anderen servern hat sich wegen wordpress auch noch keiner beschwert, aber wie ich schon sagte ein kunde wurde gebannt
meine Überlegung den Zeitraum zu verkleinern und Anzahl der fehlversuche etwas zu erhöhen

den verhalten konnte ich bei dem kunden selbst nicht nacherstellen und der kunde ist nicht wirklich bereit mit genau zu erklären was und wo er da alles klickt oder was auch immer
wer weiß, evtl ist es auch irgendein plugin was es verursacht, auf jeden fall bei normalem verhalten taucht login.php nur ein mal bei normalem einlogen auf, danach nicht wieder... also bei mir

also ich bin jetzt bei filter für wordpress bei dem hier stehen geblieben:

failregex =  [\w\.\-]+ <HOST> .*] "GET /wp-login.php HTTP.* 200 .*$
             [\w\.\-]+ <HOST> .*] "POST /wp-login.php HTTP.* 200 .*$

gibt oder hat jemand so was auch für die eigentlichen pd-admin logins?
also wenn man auf der administrator/ oder kunden seite versucht?

Zitat

Original von VeNoM
Versuche doch mal (falls noch nicht geschehen) in der fail2ban. conf zu dieser Regel den User und die Gruppe root einzutragen. Meiner Meinung nach müsste das so funktionieren.

Wie genau soll das funktionieren? hätte diesbzeüglich nicht wirklich was gefunden... ?!

Huhu,
nee, funktioniert auch nicht. Ich hab mal meine älteren Backups rausgekramt aber das ist keine Lösung für genau das Problem. Ich finde aber auch gerade nicht wie ich das gelöst hatte.
Sollte ich das finde teile ich es Dir mit.

hat jemand noch sinnvolle suchausdrucke geschaffen und sich vor scans zu schützen?

habe aktuell auch viele sollche zeilen in den logs:
DOMAIN 208.115.113.87 - - [02/Aug/2014:19:02:37 +0200] "GET /phpMyAdmin/setup/?version_check=1&token=42db5a1eb1ddf08b04b3a1782af HTTP/1.1" 302 302 "-" "Mozilla/5.0 (compatible; DotBot/1.1; http://www.opensiteexplorer.org/dotbot, help@moz.com)"

schaffe es aber nicht die raus zu filtern

für wordpress habe ich da noch was in den logs entdeckt, ka ob es schadet, aber es wird zu oft hintereinander aufgerufen:

DOMAIN 117.18.73.66 - - [02/Aug/2014:09:02:37 +0200] "POST /xmlrpc.php HTTP/1.1" 200 402 "-" "Mozilla/5.0 (Windows NT 6.1; rv:18.0) Gecko/20100101 Firefox/18.0"

das habe ich aber geschafft raus zu filtern mit:
[\w\.\-]+ <HOST> .*] "POST /xmlrpc.php HTTP.* 200 .*$

Hallo ich habe da auch ein aktuelles Problem (gehabt).

Ich habe sehr oft mal in der error.log drin stehen:
[Sun Aug 03 12:34:13 2014] [crit] [client xxx.xxx.xxx.xxx] (13)Permission denied: /usr/local/pd-admin2/htdocs/forbidden/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable

Die Client IP's sind unterschiedlich die Gleichen kommen aber ab und an auch mal öfter vor meist aus dem osteuropäischen Bereich bis hin zum asiatischen.

Habe schon vieles versucht dies mit F2B zu blocken aber nix hat funktioniert.
Ich habe sogartestweise meine IP in den failrex reingeschrieben mit der ganzen Zeile doch irgendwie wird das nicht geblockt.

Dann habe ich mich mal im Blog von F2B durchgelesen und bin glaube nun etwas schlauer Ich sag nur "fail2ban-regex".
Es hat an (13) gelegen das nix gefunden wurde nun sieht die Regel erstmal wie folgt aus:
[[]client <HOST>[]] [(]13[)]Permission denied:

habe in letzter zeit auch ganz schön viele von sollchen einträgen:

- 66.249.65.48 - - [26/Aug/2014:21:29:29 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:29 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:29 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:38 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:39 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.56 - - [26/Aug/2014:21:29:39 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.56 - - [26/Aug/2014:21:29:39 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:42 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:42 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.56 - - [26/Aug/2014:21:29:42 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.56 - - [26/Aug/2014:21:29:42 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.40 - - [26/Aug/2014:21:29:48 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.40 - - [26/Aug/2014:21:29:48 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:49 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:49 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:58 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.48 - - [26/Aug/2014:21:29:58 +0200] "\x16\x03" 400 226 "-" "-"
- 66.249.65.56 - - [26/Aug/2014:21:29:58 +0200] "\x16\x03\x01" 400 226 "-" "-"
- 66.249.65.56 - - [26/Aug/2014:21:29:59 +0200] "\x16\x03" 400 226 "-" "-"

laut IP analyse soll es googlebot sein, aber auch wenn es so ist, übertriebt der nicht ein wenig?
das zieht sich so stunden land durch die logs

kann es sein das fail2ban etwas unzuverlässig arbeitet?

der selbe log wo ich die googlebot einträge gefunden habe sind auch haufen an login versuchen die er eigentlich finden sollte
nach der manuell prüfung mit fail2ban-regex hat er dann auch angezeigt das er was gefunden hat
und erst nach dem neue start von dem dienst wurde die IP dann erst gebannt

habe was zu den googlebot zugriffen gefunden:
http://wishmesh.com/2010/05/apache…site-via-https/

ja, gibt auch SSL für ...
also die IP hat auch SSL für eine oder andere Seite, ist das normal das man nicht sehen kann worauf da zugegriffen wird?

Hallo,

Zitat

Original von WebTeufel
also ich bin jetzt bei filter für wordpress bei dem hier stehen geblieben:

Code

failregex =  [\w\.\-]+ <HOST> .*] "GET /wp-login.php HTTP.* 200 .*$
             [\w\.\-]+ <HOST> .*] "POST /wp-login.php HTTP.* 200 .*$

[...]

das funktioniert nur so lange, wie Wordpress nicht in einem Unterverzeichnis installiert ist.
Abhilfe schafft dies:

failregex =  [\w\.\-]+ <HOST> .*] "GET .*\/wp-login.php HTTP.* 200 .*$
             [\w\.\-]+ <HOST> .*] "POST .*\/wp-login.php HTTP.* 200 .*$

Weiterhin war mein regex tool mit diesem Ausdruck nicht einverstanden:

Zitat

Original von webby
vi /etc/fail2ban/filter.d/pdqmail-smtp.conf

Code

[...]
failregex = User [-/\w]+.*(?:[a-z]{2,6}): smtp-auth login failed from <HOST> \(no such user\)
[...]

Statt dessen verwende ich diesen hier, den ich aus den logcheck configs geholt habe:

failregex = User [a-zA-Z0-9@._-]+: smtp-auth login failed from <HOST> \(no such user\)

Ich habe gerade erst angefangen, mit fail2ban zu experimentieren, hätte ich das mal früher gewusst... Danke Webby für die Anleitung, war ein guter Einstieg!

Wenn ich weitere configs zusammengebastelt bekomme, werde ich sie hier veröffentlichen. Wenn andere noch eigene, für pdadmin allgemeingültige configs haben, würde ich mich freuen, wenn sie hier preis gegeben würden.
Vielen Dank!

danke für die Korrekturen

mal andere Frage, hat einer von euch es auch so das die Mails von Fail2Ban mit falschem Datum kommen?
oder habe ich es nach dem restart oder auch einfach so das das Datum dann 01.01.1970 01:00 anzeigt
woran kann es den liegen?
systemzeit ist alles ok

debian 6 ist es nicht
7 ist auf den systemen, aber als v server/kvm wenn es damit was zu tun haben sollte

werde mal durchlesen und ausprobieren