fail2ban / iptables contre le scan de failles

WRInaute passionné
Bonjour

j'ai bien entendu des recherches de failles sur mon serveur et mes sites (failles wordpress, etc...) et cela pourri mes log et tous ce qui s'en suit. Bon, ok j'utilise un framework perso, donc les scans de failles ne mènent à nul part, mais bon...

je ne suis pas un exepert des regex, et je voudrais bloquer via fail2ban ce genre de scan:

Code:
/FCKeditor/editor/filemanager/connectors/asp/connector.asp
/blog/wp-content/plugins/fckeditor-for-wordpress-plugin/fckeditor/editor/fckeditor.html
/includes/uploadify/uploadify.swf


- existe t il des regex tout faites pour cela?
- des tutos au sujet des regex adaptées à fail2ban?

merci de m'avoir lu
 
WRInaute accro
Salut, suivant l'OS, la syntaxe varie pour les regex.

En français, tu peux suivre les liens ci-dessous.
http://www.fail2ban.org/wiki/index.php/FAQ_french
http://j2c.org/informatique/linux/fail2ban.php

Sur une gentoo ça donne ceci
Pour le jail.conf
Code:
[apache-nom_fitre]

enabled  = true
filter   = apache-nom_fitre
action   = iptables-multiport[name=nom_fitre, port="http,https"]
           mail-buffered[name=nom_fitre, lines=5, dest=fail2ban@ndd.tld]
logpath  = /home/log/httpd/http_log
bantime  = 86400
findtime = 3600
maxretry = 1

En exemple, il y a deux regex : la première pour ton problème et la seconde pour activer le filtre en fonction d'une chaîne de caractère (ou plusieurs) dans l'url. Le filtre écoute http ou https.
Code:
#<HOST> - - nom_filtre

[Definition]

# Option:  failregex
# Values:  TEXT
failregex = ^<HOST> -.*"(GET|POST) \/includes\/uploadify\/uploadify\.swf.*".* 
            ^<HOST> -.*"(GET|POST) .*(mot_a_détecter|autre_mot_a_détecter) 

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT

ignoreregex =
 
Discussions similaires
Haut