IP BANNIE génère des erreurs dans les logs apache

kmchen · Juin 15, 2020, 2:26pm

Maintenant j’ai paramétré une jail mais ça ne bloque pas l’attaque:

$ cat /etc/fail2ban/jail.d/joomla-login-errors.conf 
[joomla-login-errors]
enabled = true
filter = joomla-login-errors
port   = http,https
logpath = /var/www/site.com/web/logs/error.php

$ fail2ban-regex /var/www/site.com/web/logs/error.php /etc/fail2ban/filter.d/joomla-login-errors.conf 

Running tests
=============

Use   failregex filter file : joomla-login-errors, basedir: /etc/fail2ban
Use         log file : /var/www/site.com/web/logs/error.php
Use         encoding : UTF-8


Results
=======

Failregex: 534 total
|-  #) [# of hits] regular expression
|   1) [534] ^.*INFO <HOST>.*joomlafailure.*(utilisateur|Username).*
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [534] Year-Month-Day[T ]24hour:Minute:Second(?:\.Microseconds)?(?:Zone offset)?
`-

Lines: 534 lines, 0 ignored, 534 matched, 0 missed
[processed in 0.05 sec]

Quand il dit " 534 matched" ça veut dire que la REGEX a été trouvée 534 fois ? Mais dans ce cas pourquoi l’IP apparait elle dans les logs de JOOMLA?

anon70622873 · Juin 15, 2020, 2:48pm

Oui cela veux dire que 534 lignes de ton fichier de log correspondent au motif indiqué dans ton filtre.
Donc a priori c’est correct.
Regarde les paramètres bantime et surtout findtime de fail2ban pour voir si les dates dans le fichier de log permettent bien un bannissement.

Redémarre le service fail2ban :

systemctl restart fail2ban

et observe en même temps les logs de fail2ban :

tail -f /var/log/fail2ban.log

kmchen · Juin 15, 2020, 3:37pm

L’IP semble bannie par fail2ban:

$ sudo fail2ban-client status joomla-login-errors
Status for the jail: joomla-login-errors
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     250
|  `- File list:        /var/www/espace.cfa-epure.com/web/logs/error.php
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   193.106.31.130

Mais dans ce cas pourquoi l’IP apparait elle dans les logs joomla ce matin alors que la jail était en place:

    2020-06-15T05:21:30+00:00   INFO 193.106.31.130 joomlafailure   Le nom d'utilisateur ne correspond pas au mot de passe, ou vous n'avez pas encore de compte.

J’avais du oublier de re-démarrer le service fail2ban. Je vois plus qu ça.

Par contre, question performance j’imagine que les findtime/bantime jouent un rôle. En l’occurence ils sont définis à 3600 tous les deux dans jail.local.
J’imagine qu’un findtime à 600 économiserait un peu le processeur, non ? Quel est le bon compromis ?