2 votos

Fail2ban no funciona en Ubuntu

Me di cuenta de un montón de esos w00tw00t que llegan a mi servidor Ubuntu 12.04 y por eso instalé fail2ban. He seguido estas instrucciones sobre la configuración de Fail2ban contra las solicitudes de w00tw00t. Me aseguré de nombrar los archivos correctamente, y reiniciar fail2ban después de cambiar la configuración.

He probado escribiendo varios w00tw00t parámetros en mi URL como lo hacen los atacantes, pero ninguno me baneó. No añadí mi IP a una lista de ignorados. Incluso lo intenté desde mi teléfono, y aún así no hubo baneo.

En jail.conf tengo lo siguiente ubicado en /etc/fail2ban/jail.conf

[w00tw00t-scans]

enabled  = true

action   = iptables-allports

sendmail-whois[name=SSH, dest=ubuntu, sender=fail2ban@mail.com]

filter   = w00tw00t

logpath  = /var/log/apache2/access.log

maxretry = 1

bantime  = 120  #testing so that I can verify and not be banned for a day!

Aquí está el filtro w00tw00t ubicado en /etc/fail2ban/filter.d/w00tw00t.conf

#block w00tw00t scans of all variations

[Definition]

failregex = ^<HOST> .*”GET \/w00tw00t*

ignoreregex =

Verifiqué que la ruta de registro está configurada correctamente escribiendo un parámetro oscuro en mi URL, luego revisé access.log y efectivamente estaba allí. También me aseguré de reiniciar fail2ban después de añadir las reglas.

¿Hay alguna otra configuración que tenga que hacer fuera de la caja con fail2ban? Después de instalar lo único que hice fue añadir el filtro y el bit de wootwoot a jail.conf. He comprobado que se está ejecutando escribiendo /etc/init.d/fail2ban start y responde con * Socket file /var/run/fail2ban/fail2ban.sock is present

editar - sólo mostrar lo que la solicitud se ve en /var/log/apache2/access.log

Esta es una petición maliciosa

67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"

Y aquí hay una petición que hice

My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"

3voto

katit Puntos 130

Esas citas no me parece correcto ¿usaste un editor de texto adecuado para escribir tu regex? Prueba con

Failregex = ^<HOST> .*"GET /w00tw00t.*"

Que según fail2ban-regex encuentra el en tus dos ejemplos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: