Comment combattre ce genre dessai d'intrusion

Support Debian
#1

Pratiquement chaque jour, dans le rapport Logwatch, j’ai ce genre le lignes dans les “404” :

http://218.83.152.252/judge112233.php: 1 Time(s) http://www.seektwo.com/proxy-1.php: 1 Time(s)
Je ne pense pas qu’une ligne de DROP d’IP dans iptables fasse grand chose ?
Est-ce que Fail2ban sait soigner ces “malades” ?
Lol, tu sais ???

#2

Salut,

[quote=“ricardo”]
Est-ce que Fail2ban sait soigner ces “malades” ?
Lol, tu sais ???[/quote]

Oui:

Dans /etc/fail2ban/jail.local

# Règle anti-boulets... [apache-404] enabled = true port = http filter = apache-404 logpath = /var/log/ispconfig/httpd/*/error* maxretry = 10
Puis dans /etc/fail2ban/filter.d/apache-404.conf

[code]

Fail2Ban configuration file

Author: Cyril Jaquier

$Revision: 471 $

[Definition]

Option: failregex

Notes.: regex to match the password failure messages in the logfile. The

host must be matched by a group named “host”. The tag “” can

be used for standard IP/hostname matching.

Values: TEXT

[client x.x.x.x] File does not exist: /home/www/admin/admin,

failregex = [[]client []] File does not exist: .*

Option: ignoreregex

Notes.: regex to ignore. If this regex matches, the line is ignored.

Values: TEXT

ignoreregex =[/code]

:006

Edit: Attention ligne logs dans /etc/fail2ban/jail.local prévue pour un serveur IspConfig. Pour toi ce sera: /var/log/apache2/error.log
Fait attention à avoir un favicon dans ton site, c’est une erreur qui revient souvent, tout le monde va se faire bannir…

[quote][Wed Jan 11 13:56:12 2012] [error] [client xxx.xxx.xxx.xxx] File does not exist: /var/www/favicon.ico[/quote] :mrgreen:

Ou mettre une exception “ignoreregex =” dans /etc/fail2ban/filter.d/apache-404.conf

#3

Merci !

J’avais devancé ta réponse et c’est ce que je viens de faire :wink:
J’ai aussi ajouté … kevin :wink:

Question :
utilité de créer un fichier “jail.conf” local ???
Perso, je n’en ai pas et j’ai rajouté toutes mes règles supplémentaires au jail.conf existant.

EDIT :
Dans la page wiki, une petite description succincte, en FR :wink: de l’action recherchée pour chaque règle, serait un plus, AMA :smiley:

:006

#4

Re,

[quote=“ricardo”]Merci !

J’avais devancé ta réponse et c’est ce que je viens de faire :wink:
J’ai aussi ajouté … kevin :wink:

Question :
utilité de créer un fichier “jail.conf” local ???
Perso, je n’en ai pas et j’ai rajouté toutes mes règles supplémentaires au jail.conf existant.

EDIT :
Dans la page wiki, une petite description succincte, en FR :wink: de l’action recherchée pour chaque règle, serait un plus, AMA :smiley:

:006[/quote]

Non, le jail.local permet juste de s’y retrouver un peu entre les règles “classiques” et les “persos”.
Oui tu as raison, mais j’ai un peu la flemme… :mrgreen: Je ferais ça plus tard.

#5

Décidément, tu es vraiment “mou” en ce moment.
Et Madame, ça va ?
:blush: