BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Fail2ban (WEB) - баним за попытки брутфорса директорий  (Прочитано 404 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8224
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Например myadmin, phpmyadmin и т.п., информация о попытках содержится в нескольких местах - error логах и выглядят примерно так:
[Sun Jun 05 15:31:55 2016] [error] [client xxx.xxx.xx.x] File does not exist: /path/to/site/phpmyadmin
[Sun Jun 05 15:31:55 2016] [error] [client xxx.xxx.xx.x] File does not exist: /path/to/site/phpmyadmin
[Sun Jun 05 15:31:55 2016] [error] [client xxx.xxx.xx.x] File does not exist: /path/to/site/phpmyadmin
[Sun Jun 05 15:31:55 2016] [error] [client xxx.xxx.xx.x] File does not exist: /path/to/site/phpmyadmin
Так же данные содержатся в access логах, если у сайта включена обработка ошибок:
xxx.xxx.xx.x - - [05/Jun/2016:19:54:43 +0600] "GET /phpmyadmin HTTP/1.1" 404 726 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.75 Safari/537.36"
xxx.xxx.xx.x - - [05/Jun/2016:19:54:43 +0600] "GET /phpmyadmin HTTP/1.1" 404 726 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.75 Safari/537.36"
xxx.xxx.xx.x - - [05/Jun/2016:19:54:43 +0600] "GET /phpmyadmin HTTP/1.1" 404 726 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.75 Safari/537.36"
Я для обработки этих логов создал два правила в f2b:
[bad-dir-found]
enabled=true
port = http,https
filter   = bad-dir-found
logpath  = /path/to/logs/*.error.log

[bad-request-found]
enabled=true
port = http,https
filter   = bad-request-found
logpath  = /path/to/logs/*.access.log
И два соответсвующих регулярных выражения bad-dir-found.conf:
[Definition]
failregex = [[]client <HOST>[]] (File does not exist).*(phpMyAdmin|phpmyadmin|dbadmin|mysql|myadmin|w00t|muieblackcat|mysqladmin).*
ignoreregex =
и bad-request-found.conf:
[Definition]
failregex = ^<HOST> .*GET.*(\/phpMyAdmin|\/phpmyadmin|\/dbadmin|\/mysql|\/myadmin|\/w00t|\/muieblackcat|\/mysqladmin).* (404|304)
ignoreregex =
З.Ы. во втором правиле специально добавлены слеши, так как в одной ссылке содержалось слово myadmin, в итоге в бан попали все, кто открывал эту ссылку, поэтому привел соответствие слешами))
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

 


moved
Перенесено: Fail2ban (WEB) - баним за попытки брутфорса директорий

Автор sysadmin

0 Ответов
1 Просмотров
Последний ответ Декабрь 04, 2016, 02:40:18 pm
от sysadmin
thumbup
fail2ban баним одни и те же атакующие IP на вечно

Автор sysadmin

6 Ответов
1346 Просмотров
Последний ответ Октябрь 06, 2014, 12:48:11 pm
от sysadmin
moved
Перенесено: fail2ban баним одни и те же атакующие IP на вечно

Автор sysadmin

0 Ответов
1 Просмотров
Последний ответ Декабрь 04, 2016, 02:40:31 pm
от sysadmin
xx
Zentyal 3 увеличиваем место общих сетевых директорий

Автор determination

0 Ответов
788 Просмотров
Последний ответ Апрель 26, 2014, 02:46:00 pm
от determination