Ip bannies

[fleproust]

Bonjour à tous,

Dans le menu configuration, sécurité, j’ai indiqué un seul échec cependant j’ai des tentatives d’acces Toujours indiquées dans mes logs http_error. Et aucune ip bannies.

Je me posais une question : les adresses sont sous la forme x.x.x.x:xxxx (xxxx indiqué comme un numéro de port) et ces numéros sont diferents à chaque fois.

Est ce la raison qui fait que l’adresse n’est pas bannie ? Ayant mis un seul échec elle devrait se retrouver dans mes adresses bannies. J’ai mis -1 pour la durée.

Merci bcp pour ceux qui pourront m’aider à bannir ces ip de tentative d’acces

Bonne journée.

[poluket]

pourquoi veux tu bannir les IP après une tentative? tu vas vite te trouver avec une liste énorme vu le nombre de scan qui existe sur internet.

[fleproust]

Car je voulais faire un test pour voir si cela fonctionne. Résultat aucune adresse bannie malgré les logs http error qui montrent des tentatives. Je ne comprends pas. Les adresses sont parfois les mêmes sauf les chiffres après les « : » (ports?)

[Bosquetia]

Oui en IP il y a juste 65535 ports par adresse...
On bannit une adresse pour se protéger sinon si elle scanne tous les ports imagine le nombre d'adresse à bannir !

[fleproust]

Oui mais justement. Les adresses ip qui tentent une intrusion sont souvent les mêmes. Seuls les ports changent. Pourquoi ne sont elles pas bannies du coup?

[Bosquetia]

Parce qu'elles font un scan et ne tentent pas de se connecter peut être...

[fleproust]

Elles tentent de lancer un script.
Exemple :

Sat Feb 16 18:29:38.636819 2019] [:error] [pid 6440] [client 202.161.112.254:38672] script '/var/www/html/reply.php' not found or unable to stat
[Sun Feb 17 00:58:50.926460 2019] [:error] [pid 6439] [client 124.158.14.34:50284] script '/var/www/html/elrekt.php' not found or unable to stat
[Sun Feb 17 00:58:52.829293 2019] [:error] [pid 10192] [client 124.158.14.34:50732] PHP Notice: Array to string conversion in /var/www/html/index.php on line 28

[Patdec]

Bonjour,

Est-ce que tu as mis quelque chose en place pour te protéger ?
Je suis confronté au même problème et j'essaie de configurer un fail2ban.
J'ai ouvert un topic " Tentative d'intrusion " et je suis certain que je dois avoir des améliorations à apporter.

En s'y mettant à plusieurs et avec l'aide de Geeks formés à la sécurité on devrait pouvoir sécuriser un minimum.

Code : Tout sélectionner

[Mon Jun 10 10:48:37.361763 2019] [:error] [pid 2446] [client 51.77.74.32:49590] script '/var/www/html/elrekt.php' not found or unable to stat
[10-Jun-2019 10:48:37 Europe/Berlin] PHP Notice:  Array to string conversion in /var/www/html/index.php on line 28
[Mon Jun 10 15:17:31.622988 2019] [core:error] [pid 9186] [client 192.228.100.252:46716] AH00126: Invalid URI in request GET HTTP/1.1 HTTP/1.1
[Mon Jun 10 15:17:31.957819 2019] [:error] [pid 28116] [client 192.228.100.252:47054] script '/var/www/html/wp-login.php' not found or unable to stat

Edit : Ce qui me gêne ici c'est que cette IP 192.228.100.252 est rapportée par abuseipdb.com comme étant 100% pourrie.
Ensuite , j'ai bien un fichier index.php dans /var/www/html
A t'il pu être modifié ?
Faut- il le comparer ?
Que feriez vous ?

[fleproust]

Non rien fait car c’est 1 fois par jour maxi et ne fait rien car refusé. Par contre les ip ne sont pas bannies même en configurant 2 echecs

[Jeandhom]

Car c'est les ip qui essayent de se loguer à jeedom qui sont bannies.
Il n'est pas normal que ta machine jeedom soit exposée à tout internet.

[mjeanne]

bonjour,

il y a de nombreux filtres pour Fail2ban que vous pouvez activer.
Par exemple:
avec ban à la 1ere erreur: ' apache-auth' , 'apache-badbots', 'apache-overflow'
avec ban à 2 ou 3 erreurs: 'apache-common', 'apache-noscript'

[Patdec]

bonjour,

il y a de nombreux filtres pour Fail2ban que vous pouvez activer.
Par exemple:
avec ban à la 1ere erreur: ' apache-auth' , 'apache-badbots', 'apache-overflow'
avec ban à 2 ou 3 erreurs: 'apache-common', 'apache-noscript'

Bonjour Mjeanne,

Tu pourrais nous montrer ton fichier jail.local ou jail.conf si tu les as modifiés ?
Le defaults-debian.conf m'intéresse aussi.

Merci

[mjeanne]

Bonjour,

mon jeedom n'est pas exposé à Internet, donc je n'ai pas une grosse config Fail2ban, mais sur mes serveurs en ligne, c'est le cas

Voici un fichier jail d'un de mes serveurs (j'ai anonymisé un peu)

Code : Tout sélectionner

[DEFAULT]
banaction = iptables-multiport
banaction_allports = iptables-allports

ignoreip = 127.0.0.1/8 82.x.x.x y.y.y.y
findtime = 7200
destemail = contact@mondomaine
sender = fail2ban@mondomaine

action_mwlc = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s", host=MonHost]
                complain[logpath=%(logpath)s]
action = %(action_mwlc)s

[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 2
findtime = 7200

[pureftpd]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
maxretry = 1
findtime = 7200

[sasl]
enabled = true
port = smtp
filter = sasl
logpath = /var/log/mail.warn
maxretry = 2
bantime  = 864000
findtime = 7200

[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 2
bantime  = 86400
findtime = 7200

[apache-noscript]
enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 3
bantime  = 86400
findtime = 7200

[apache-overflows]
enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2
bantime  = 86400
findtime = 7200

[apache-w00tw00t]
enabled  = true
filter   = apache-w00tw00t
action   = iptables-allports[name=w00tw00t]
logpath  = /var/log/apache2/error.log
maxretry = 1
bantime  = 86400
findtime = 3600

[apache-nokiddies]
# ban script kiddies
enabled  = true
port     = http,https
filter   = apache-nokiddies
logpath  = /var/log/apache*/*access.log
maxretry = 3
bantime  = 864000
findtime = 36000

[apache-bad404]
enabled  = true
port     = http
filter   = apache-bad404
logpath  = /var/log/apache2/other_vhosts_access.log
maxretry = 4
bantime  = 864000
findtime = 36000

[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
enabled = true
port     = http,https
logpath  = %(apache_access_log)s
bantime  = 172800
maxretry = 1

[wordpress-aiowp]
# ban wordpress login bruteforce
enabled = true
filter = wordpress-aiowp
logpath = /var/www/mondomaine.fr/web/wp-content/plugins/all-in-one-wp-security-and-firewall/logs/wp-security-log.txt
maxretry = 1
bantime = 864000
findtime = 36000

[wordpress-aiowp-2]
# ban wordpress login bruteforce
enabled = true
filter = wordpress-aiowp
logpath = /var/www/clients/client5/web16/web/wordpress/wp-content/plugins/all-in-one-wp-security-and-firewall/logs/wp-security-log.txt
maxretry = 1
bantime = 864000
findtime = 36000

[recidive]
enabled = true
logpath  = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime  = 864000 ;10 days
findtime = 172800   ; 2 days
maxretry = 3

c'est plutôt blindé, tous ports fermés sauf strict nécessaire + fail2ban + règles perishable 6G sur les sites web + alerte mail à chaque blocage. Ces 3 outils permettent de stopper pas mal de bots et d'attaques en bloquant, par exemple, tous les protocoles HTTP sauf GET et POST. Il ne faut pas hésiter a être strict sur le maxretry. Si vous utilisez un gestionnaire de mot de passe (Keepass, etc.), il n'y a pas de raison que vous fassiez d'erreur, donc un maxretry de 1 est bien.
C'est efficace, mais faut savoir qu'on peut se bloquer soi-même assez facilement, donc penser a ajouter des IP fiables dans les 'ignoreip' de fail2ban, par exemple et dans le parefeu.

[Patdec]

Je te remercie Mjeanne, je vais essayer de m'en inspirer.
Pour l'instant, je décortique et essaye de comprendre les explications du site
https://zb2oby.fr/fail2ban

Ma connexion en ssh se fait en local sur le port 22
En externe sur le port 2222

Je suppose dès lors, que dans la section [sshd] du fichier jail.local je dois renseigner port = 2222. Juste ?

Par default, je suis réglé comme çi-dessous. Je suppose que c'est pas suffisant et qu'il est mieux de reprendre tout ou partie de ton setting.

Autrement dit, le fichier defaults-debian.conf contient par defaut uniquement la section [sshd] avec un enabled = true.
On peut aussi je suppose indiquer dans ce fichier les sections filtres souhaitées avec ce paramètre enabled à true et ne pas les reprendre dans le jail.local?

Je réfléchis tout haut pour les noobs qui veulent aussi comprendre.
Je vais garder comme toi les enabled = true dans le jail.local ainsi si le default-debian.conf venait à être changé lors d'une release, je ne dois pas m'en inquiéter.

La commande fail2ban-client status indiquant le nombre de jails en cours.

Code : Tout sélectionner

[apache-noscript]

port     = http,https
logpath  = %(apache_error_log)s


[apache-overflows]

port     = http,https
logpath  = %(apache_error_log)s
maxretry = 2

[mjeanne]

dans la section [sshd] du fichier jail.local je dois renseigner port = 2222. Juste ?

Non, car c'est le port utilisé sur la machine qui compte.

Par default, je suis réglé comme çi-dessous.

il manque les 'enabled = true' pour que les règles soient prise en compte

il est mieux de reprendre tout ou partie de ton setting.

non, sauf a comprendre le pourquoi, sinon vous risquez de vous bloquer.

Autrement dit, le fichier defaults-debian.conf contient par defaut uniquement la section [sshd] avec un enabled = true.
On peut aussi je suppose indiquer dans ce fichier les sections filtres souhaitées avec ce paramètre enabled à true et ne pas les reprendre dans le jail.local?

non, il faut travailler uniquement sur 'jail.local', car c'est le seul fichier dont on est certain qu'il ne sera pas écrasé lors d'une mise à jour. Il est préférable d'y mettre toutes les règles dont on veut être sur qu'elles sont activées.

[Patdec]

dans la section [sshd] du fichier jail.local je dois renseigner port = 2222. Juste ?

Non, car c'est le port utilisé sur la machine qui compte.

J'ai du mal à piger. Le 2222 est une redirection de port faite sur ma Bbox

Par default, je suis réglé comme çi-dessous.

il manque les 'enabled = true' pour que les règles soient prise en compte

il est mieux de reprendre tout ou partie de ton setting.

non, sauf a comprendre le pourquoi, sinon vous risquez de vous bloquer.
Je ne comptais pas recopier bêtement sans comprendre mais tu as raison de le signaler quand même !!!!!

Autrement dit, le fichier defaults-debian.conf contient par defaut uniquement la section [sshd] avec un enabled = true.
On peut aussi je suppose indiquer dans ce fichier les sections filtres souhaitées avec ce paramètre enabled à true et ne pas les reprendre dans le jail.local?

non, il faut travailler uniquement sur 'jail.local', car c'est le seul fichier dont on est certain qu'il ne sera pas écrasé lors d'une mise à jour. Il est préférable d'y mettre toutes les règles dont on veut être sur qu'elles sont activées.

Nos posts se sont croisés car j'ai indiqué (sans mettre Edit :, te croyant dans les bras de Morphée ) dans le paragraphe plus bas le pourquoi je reprenais tes commandes dans le jail.local.
Dans l'autre topic, j'en parle également mais c'est pas plus mal de le redire.