We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Skany serwera


tabi19
13-02-2010, 18:05
czy czasem ten plik nie nazywa sie access_log tylko access.log ?
Rzeczywiście, nie zauważyłem tego Poprawione, serwer zrestartowany, zobaczymy co będzie dalej

Dzięki za pomoc, jutro napiszę czy zadziałało (chyba że już dzisiaj będą jakieś "wieści").

Pozdrawiam !

Edit://

No długo nie trzeba było czekać na reakcję

"Hi,

The IP 217.195.204.194 has just been banned by Fail2Ban after
1 attempts against w00tw00t."


Ogromne dzięki za pomoc !

andriu-m
13-02-2010, 17:56
filtr tez wygląda ok

w logu fail2bana nie widać aby dołączał logu pliku /var/log/apache2/access_log
napewno sciezka do pliku logu access jest poprawna?
czy czasem ten plik nie nazywa sie access_log tylko access.log ?

twoj jail.conf
Kod:
[apache-w00tw00t]
enabled  = true
port     = http
filter   = apache-w00tw00t
action   = iptables-allports[name=w00tw00t]
           mail-whois[name=w00tw00t, dest=grzesiut@gmail.com]
logpath  = /var/log/apache2/access_log
maxretry = 1

tabi19
13-02-2010, 17:16
/etc/fail2ban/filter.d/apache-w00tw00t.conf

http://wklej.to/Cw5T

andriu-m
13-02-2010, 16:58
po stronie fail2bana wyglada ok, wiec problem musi byc w filtrze w000ta ;>

tabi19
13-02-2010, 16:06
/var/log/fail2ban.log

http://wklej.to/eyRQ

andriu-m
13-02-2010, 15:03
pokaz /var/log/fail2ban.log ;>

tabi19
13-02-2010, 14:20
Ehh... dalej nie działa :/

http://wklej.to/i0kS

Teraz skanowały te 2 IP ..

iptables -L pokazuje:

Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports gds_db
fail2ban-apache tcp -- anywhere anywhere multiport dports www,https
fail2ban-apache-multiport tcp -- anywhere anywhere multiport dports www,https
fail2ban-w00tw00t all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-apache-multiport (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-w00tw00t (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
jail.conf : http://wklej.to/9HO8

Co robić ?

tabi19
12-02-2010, 21:10
Dziękuję za pomoc, wszystko podmieniłem, zrestartowałem, czekam na efekty

Pozdrawiam !

mlodszy
12-02-2010, 20:00
Fail2ban+apache-w00tw00t.conf

Tutaj kod:
Kod:
# - - [29/Apr/2008:22:54:08 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 326

[Definition]

# Option:  failregex
# Notes.:  regex to match the w00tw00t scan messages in the logfile. The
#          host must be matched by a group named "host". The tag "" can
#          be used for standard IP/hostname matching.
# Values:  TEXT
failregex = ^ -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT

ignoreregex =
A do tego w jail.conf coś takiego:
Kod:
[apache-w00tw00t]
enabled	=	true
port	=	http
filter	=	apache-w00tw00t
logpath	=	/****/apache2/access_log
maxretry =	1

tabi19
12-02-2010, 14:25
Witam ! Przeglądając wczoraj logi apache natrafiłem na wpis w stylu "w00tw00t". Googlując i pytając znajomego dowiedziałem się, że był to skan serwera. Takich skanów było już dość trochę, tylko że wykonywane były z 3 IP ( tylko 3 IP się powtarzały w logach ). Zainstalowałem fail2ban (według tego poradnika http://www.omnicom.pl/?p=45 ), sprawdziłem dzisiaj logi i co widzę ? Znowu było jakieś 10 skanów z pierwszego adresu IP oraz po 3-4 skany z dwóch innych .. Na e-mail nie dostałem żadnej wiadomości od fail2ban (a działa wysyłanie e-mail'i, ponieważ info o włączaniu/wyłączaniu fail2ban dostawałem).

Co radzicie zrobić, w jaki sposób się zabezpieczyć ?

Proszę o pomoc.
Pozdrawiam.

P.S. Jak "zjechać" na sam dół pliku w nano ?
P.S.2. System jaki używam, to Debian 5.0 lenny.