pdadmin-forum

pdadmin-forum » Information » HowTo's » Server mit Fail2Ban absichern » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (9): « erste ... « vorherige 2 3 [4] 5 6 nächste » ... letzte » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Server mit Fail2Ban absichern
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

warte jetzt auf die ersten wordpress versuche, mal sehen wie es dann klappt

jetzt wo man auf so was bereit ist, kommt nix smile
aber die erste bans für smtp sind schon dabei gewesen
20.07.2014 00:57 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

der WordPress Filter macht es aber irgednwie falsch, weil eigene IPs auf der liste gelandet sind

hier ist der aufbau von dem Log:
code:
1:
2:
3:
4:
teamspeak3hosting.de 24.114.29.162 - - [19/Jul/2014:01:34:57 +0200] "POST /wp-login.php HTTP/1.0" 200 3709 "-" "Mozilla/5.0
ifb-consulting-hh.de 5.39.216.2 - - [19/Jul/2014:01:47:29 +0200] "GET /wp-login.php HTTP/1.1" 200 7700 "-" "Mozilla/4.0"


ist der dann falsch?
code:
1:
2:
3:
4:
failregex = ^<HOST> .*"POST .*/wp-login\.php HTTP.* 200 .*$
            ^<HOST>. *] "(GET | POST) / wp-login.php
20.07.2014 09:28 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

http://wiki.linuxservertech.com/index.ph...=201&artlang=en
habe da was gefunden, da müsste die apache log erst "verändert/angepasst" werden
sollte man es so einfach machen? richtet sich nicht schon irgednein programm nach aktuellen log?
oder lässt sich der filter anpassen auf die aktuelle log einträge?

könnte hier aufgefürte filter besser funktionieren?
http://www.tomp.co.uk/blog/view/30

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von WebTeufel: 20.07.2014 10:45.

20.07.2014 10:41 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

so ich glaube ich habe es jetzt zusammen gefuscht das ganze sieht jetzt so aus:

code:
1:
2:
3:
4:
5:
6:
7:
[Definition]
failregex = [\w\.\-]+ <HOST> .*] "GET /wp-login.php
            [\w\.\-]+ <HOST> .*] "POST /wp-login.php
#           ^<HOST> .*"POST .*/wp-login\.php HTTP.* 200 .*$
#           ^<HOST>. *] "(GET | POST) / wp-login.php
ignoreregex =


scheint auch die richtige zu treffen, aber man muss erst den richtigen angriff mal abwarten, mal sehen was dann passiert
20.07.2014 11:07 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.329

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Was hast Du denn in der "jail.local" eingetragen?
20.07.2014 12:48 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

für wordpress einträge:

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
[wordpress-login]
enabled = true
filter  = wordpress-login
action = iptables-multiport[name=WPlogin, port="http,https", protocol=tcp]
sendmail-whois[name=...s-WPlogin-Banned,dest=..., sender=fail2ban@...]
port     = http,https
logpath = /usr/local/pd-admin2/logs/access_log
maxretry = 5
findtime = 120
bantime = 86400


aber bisher waren es immer noch keine versuche....

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von WebTeufel: 20.07.2014 19:39.

20.07.2014 19:38 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.329

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich frage mich, ob das klappt, denn der Fehler "200" scheint doch anscheinend der zu sein der auftritt, wenn der Login fehlschlägt.
21.07.2014 00:37 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

es scheint gut zu klappen, endlich mal ein angriff in live erlebt...

so sehen die logs dann aus:
php:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
www.germantopfoals.com 59.95.172.13 - - [21/Jul/2014:09:47:48 +0200"GET /wp-login.php HTTP/1.1" 200 1547 "-" "Mozilla/5.0 (Windows NT 6.1;
www.germantopfoals.com 59.95.172.13 - - [21/Jul/2014:09:47:49 +0200] "POST /wp-login.php HTTP/1.1" 200 1602 "-" "Mozilla/5.0 (Windows NT 6.1www.germantopfoals.com 59.95.172.13 - - [21/Jul/2014:09:47:51 +0200"POST /wp-login.php HTTP/1.1" 200 1602 "-" "Mozilla/5.0 (Windows NT 6.1; 
www.germantopfoals.com 59.95.172.13 - - [21/Jul/2014:09:47:53 +0200] "POST /wp-login.php HTTP/1.1" 200 1602 "-" "Mozilla/5.0 (Windows NT 6.1www.germantopfoals.com 59.95.172.13 - - [21/Jul/2014:09:47:55 +0200"POST /wp-login.php HTTP/1.1" 200 1603 "-" "Mozilla/5.0 (Windows NT 6.1; 
www.germantopfoals.com 121.123.193.33 - - [21/Jul/2014:09:48:36 +0200] "GET /wp-login.php HTTP/1.1" 200 1546 "-" "Mozilla/5.0 (Windows NT 6.1;
www.germantopfoals.com 121.123.193.33 - - [21/Jul/2014:09:48:55 +0200"POST /wp-login.php HTTP/1.1" 200 1604 "-" "Mozilla/5.0 (Windows NT 6.1
www.germantopfoals.com 125.25.130.201 - - [21/Jul/2014:09:51:20 +0200] "GET /wp-login.php HTTP/1.1" 200 1547 "-" "Mozilla/5.0 (Windows NT 6.1;
www.germantopfoals.com 125.25.130.201 - - [21/Jul/2014:09:51:22 +0200"POST /wp-login.php HTTP/1.1" 200 1605 "-" "Mozilla/5.0 (Windows NT 6.1;
www.germantopfoals.com 125.25.130.201 - - [21/Jul/2014:09:51:25 +0200] "POST /wp-login.php HTTP/1.1" 200 1602 "-" "Mozilla/5.0 (Windows NT 6.1;
www.germantopfoals.com 125.25.130.201 - - [21/Jul/2014:09:51:27 +0200"POST /wp-login.php HTTP/1.1" 200 1603 "-" "Mozilla/5.0 (Windows NT 6.1;
www.germantopfoals.com 125.25.130.201 - - [21/Jul/2014:09:51:29 +0200] "POST /wp-login.php HTTP/1.1" 200 1601 "-" "Mozilla/5.0 (Windows NT 6.1;


und die scheinen sehr schnell es zu begreifen das ip gebant worden ist, früher gingen die attacken länger auch wenn man mal manuell gebannt hätte, hier scheinen die schneller umzuschalten...

load geht dabei auch etwas hoch, aber nicht so wie vorher, also alles gut
die imap und smtp klappt soweit auch alles gut

danke für die anleitung
21.07.2014 14:11 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.329

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Du müsstest ja auch in der "fail2ban.log" sehen, wie schnell die IP gebannt wird.
21.07.2014 20:06 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

wordpress macht mit dem Filter doch noch probleme
wenn der Kunde erklärt sich mal zusammen zu arbeiten und mir zu erklären wi es zu dem ban kommt, dann kann ich auch hier mal was neues berichten

konnte das verhalten nicht nachzustellen, anhand das was ich in den logs gesehen habe
auf jeden fall mit dem filter werden wohl auch kunden gebannt Augenzwinkern nur weiß ich noch nicht warum
21.07.2014 23:12 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Seiten (9): « erste ... « vorherige 2 3 [4] 5 6 nächste » ... letzte » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » Information » HowTo's » Server mit Fail2Ban absichern

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de