pdadmin-forum

pdadmin-forum » Information » HowTo's » Server mit Fail2Ban absichern » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (9): « vorherige 1 [2] 3 4 nächste » ... letzte » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Server mit Fail2Ban absichern
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Tealc
Mitglied


Dabei seit: 14.09.2009
Beiträge: 148

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

ich habe Squeeze und bei mir sieht es so aus
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
[POP-BANNED]
enabled         = true
filter          = pdqmail-pop-messages
action          = iptables-multiport[name=POP-BANNED, port="pop3,pop3s", protocol=tcp]
logpath         = /var/log/mail.log
# findtime : 20 minutes
findtime        = 1200
# bantime : 20 minutes
bantime         = 1200
maxretry        = 5


[SMTP-BANNED]
enabled         = true
filter          = pdqmail-smtp
action          = iptables-multiport[name=SMTP-BANNED, port="smtp,ssmtp", protocol=tcp]
logpath         = /var/log/mail.info
# findtime : 20 minutes
findtime        = 1200
# bantime : 2 hours
bantime         = 7200
maxretry        = 1

[HTTP-HTTPS-BANNED]
enabled         = true
filter          = pdapache-error
action          = iptables-multiport[name=HTTP-HTTPS-BANNED, port="http,https", protocol=tcp]
logpath         = /usr/local/pd-admin2/logs/error_log
# findtime : 30 minutes
findtime        = 1800
# bantime : 30 minutes
bantime         = 1800
maxretry        = 4

[PROFTP-BANNED]
enabled         = true
filter          = pdproftp
action          = iptables-multiport[name=PROFTP-BANNED, port="ftp,ftp-data,ftps,ftps-data", protocol=tcp]
logpath         = /var/log/user.log
# findtime : 1 hour
findtime        = 3600
# bantime : 1 hour
bantime         = 3600
maxretry        = 2

[PERMISSION-DENIED]
enabled         = true
filter          = pdapache-perm-den
banaction       = iptables-allports
protocol        = all
port            = anyport
logpath         = /usr/local/pd-admin2/logs/error_log
# findtime : 1 hour
findtime        = 3600
# bantime : 1 hour
bantime         = 3600
maxretry        = 1

[FAIL2BAN]
enabled         = true
filter          = fail2ban
banaction       = iptables-allports
protocol        = all
port            = anyport
logpath         = /var/log/fail2ban.log
# findtime: 1 week
findtime        = 604800
# bantime: 1 week
bantime         = 604800
maxretry        = 3


__________________
MfG

Tealc

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Tealc: 18.01.2015 20:21.

15.09.2012 22:42 Tealc ist offline E-Mail an Tealc senden Beiträge von Tealc suchen Nehme Tealc in Deine Freundesliste auf
Bibo
Mitglied


Dabei seit: 19.03.2012
Beiträge: 14

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

das ist komisch ,bekomme immer ein

Restarting authentication failure monitor: fail2ban failed!

muss sonst noch was geändert werden ausser die filter?



edit


nun gehts lag an den filter namen.Vielen dank nochmal für deine Hilfe Freude

Hast du noch mehr für den Apache?

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Bibo: 16.09.2012 07:54.

16.09.2012 07:44 Bibo ist offline E-Mail an Bibo senden Beiträge von Bibo suchen Nehme Bibo in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 370

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Abend,

hat jemand nen Tipp für mich, wie ich per Regex den Dateiaufruf der Datei /images/sh.php mit fail2ban verbieten kann?

Jemand hat von einem Kunden eine alte Joomla install übernommen und führt POST Anfragen permanent auf diese Datei durch..! --> DDoS-Lastig - verschiedene IP's..!

Datei ist gelöscht, passwort mit htaccess abgesichert..!

Freue mich auf Input,
Danke!

__________________
Beste Grüße,
Patrick
12.03.2013 20:28 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
webby
Mitglied


Dabei seit: 27.11.2009
Beiträge: 357

Themenstarter Thema begonnen von webby
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich habe derzeit ein ähnliches Problem das ich angehen möchte mit einem skript das noch immer permanent versucht wird aber nicht mehr auf dem server vorhanden.

ich hoffe ich schaue es diese woche noch eine entsprechende fail2ban regel zu erstellen die im access_log nach aufrufen dieser datei sucht und bei aufrufen die entsprechende ip blockt..

falls du bereits ein passendes regex gefunden hast - kannst du das hier posten?
Ansonsten werd ich dran denken mein ergebnis zu posten wenn ichs hinbekomme smile
09.04.2013 22:14 webby ist offline E-Mail an webby senden Beiträge von webby suchen Nehme webby in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 370

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von webby
falls du bereits ein passendes regex gefunden hast - kannst du das hier posten?
Ansonsten werd ich dran denken mein ergebnis zu posten wenn ichs hinbekomme smile


Hi,

leider nicht! ich habe jetzt einfach die Dateien gelöscht, und den Ordner dagelassen mit einem .htaccess-File geblockt..!

Mittlerweile hat der "Angriff" auch aufgehört..!

Hab viel gesucht und auch gefunden - aber funktioniert hat nichts..!

lg Patrick

__________________
Beste Grüße,
Patrick
15.04.2013 11:01 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
net-services
Mitglied


Dabei seit: 11.01.2007
Beiträge: 11

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo Kollegen,

hat jemand bereits eine funktionierende failregex-Regel für fail2ban um Angriffe auf das Wordpress-Login (wp-login.php) zu unterbinden ?

Gruß

net-services
14.05.2014 17:47 net-services ist offline E-Mail an net-services senden Beiträge von net-services suchen Nehme net-services in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.341

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ist zwar Off-Topic, aber ich würde das Verzeichnis einfach per .htaccess schützen.
14.05.2014 18:22 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
net-services
Mitglied


Dabei seit: 11.01.2007
Beiträge: 11

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

leider machen das viele Kunden aber nicht, und dann könnte man einen Angriff schön per fail2ban abfangen.

Gruß
14.05.2014 19:10 net-services ist offline E-Mail an net-services senden Beiträge von net-services suchen Nehme net-services in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.341

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Es scheint ja da extra ein Plugin zu geben für Wordpress, aber ob Du die Kunden dazu bringen kannst, das zu installieren, ist natürlich auch fraglich.
14.05.2014 19:53 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 370

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

vielleicht kannst du die im plugin befindliche "wordpress.conf" direkt in die serverweite fail2ban einbinden und es prüft dann alle aufrufe aller wp-seiten - aber dafür kenn ich mich zu wenig mit der konfig-datei aus.

kann das evtl. jemand bestätigen?

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
# Fail2Ban configuration file
#
# Author: Charles Lecklider
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


[Definition]

_daemon = wordpress

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = ^%(__prefix_line)sAuthentication failure for .* from <HOST>$
            ^%(__prefix_line)sBlocked authentication attempt for .* from <HOST>$
            ^%(__prefix_line)sBlocked user enumeration attempt from <HOST>$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =


__________________
Beste Grüße,
Patrick
15.05.2014 11:06 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
Seiten (9): « vorherige 1 [2] 3 4 nächste » ... letzte » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » Information » HowTo's » Server mit Fail2Ban absichern

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de