Fail2ban: рдЗрдЧреНрдиреЛрд░рд░реЗрдЧреЗрдХреНрд╕ рдХрд╛рдо рдирд╣реАрдВ рдХрд░ рд░рд╣рд╛ рд╣реИ
рдХреЙрдиреНрдлрд┐рдЧ рдлрд╛рдЗрд▓реЛрдВ рдореЗрдВ рдЗрдЧреНрдиреЛрд░рд░реЗрдЧреЗрдХреНрд╕ рд╡рд┐рдХрд▓реНрдк рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ (v0.8.4)ред
рдлреЗрд▓2рдмреИрди-рд░реЗрдЧреЗрдХреНрд╕ рдХреЗ рд╕рд╛рде рдкрд░реАрдХреНрд╖рдг рдХрд░рддреЗ рд╕рдордп "рдирд┐рдпрдорд┐рдд рдЕрднрд┐рд╡реНрдпрдХреНрддрд┐ рд╕рдВрдХрд▓рд┐рдд рдХрд░рдиреЗ рдореЗрдВ рдЕрд╕рдорд░реНрде" рддреНрд░реБрдЯрд┐ рднреА рдирд╣реАрдВ рдбрд╛рд▓реА рдЬрд╛рддреА рд╣реИред
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
рдХреЛрдИ рдореИрдЪ рдирд╣реАрдВ:
|- Regular expressions:
|
`- Number of matches:
рдЙрджрд╛рд╣рд░рдг:
suhosin.conf
[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*
рддреНрд░реБрдЯрд┐ рд▓реЙрдЧ
Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
рдореИрдВ рд╕рднреА рд╕реБрд╣реЛрд╕рд┐рди рд╣рдорд▓реЛрдВ рд╕реЗ рдореЗрд▓ рдЦрд╛рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд░рд╣рд╛ рд╣реВрдВ рдФрд░ рдореЗрдореЛрд░реА_рд▓рд┐рдорд┐рдЯ рдмрдврд╝рд╛рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░ рд░рд╣реЗ рд╕рднреА рд╣рдорд▓реЛрдВ рдХреЛ рдШрдЯрд╛ рд░рд╣рд╛ рд╣реВрдВред
jakoch
рд╕рднреА 3 рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдБ
рд╡рд░реНрдгрдирд╛рддреНрдордХ рдмрдиреЗрдВ: рдХреНрдпрд╛ рдЖрдкрдиреЗ рдЕрдирджреЗрдЦрд╛рд░реЗрдЧреЗрдХреНрд╕ рдмрд┐рд▓реНрдХреБрд▓ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рд╣реИ?
$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]
рдЗрд╕рд▓рд┐рдП рдпрджрд┐ рдореИрдВ sshd.conf рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП рдЗрдЧреНрдиреЗрдЬреЗрдХреНрд╕ рдЬреЛрдбрд╝рддрд╛ рд╣реВрдВ (рд╣рд╛рд▓рд╛рдВрдХрд┐ рдЗрд╕рд╕реЗ рдмрдЪрдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ)
рдЗрдЧреНрдиреЛрд░рд░реЗрдЧреЗрдХреНрд╕ рдХреЗ рдорд┐рд▓рд╛рди рдХреЗ рдмрд╛рдж рд╕реЗ рдореЛрд░реНрдЪреЗ рдкрд░ рдПрдВрдХрд░рд┐рдВрдЧ рдкреВрд░реНрдг рдкрд░ рд▓рд╛рдЧреВ рд╣реЛрддреА рд╣реИ
рд▓рд╛рдЗрди, рдмрд┐рдирд╛ рд╕рдордп/рддрд╛рд░реАрдЦ рдЕрд▓рдЧ рдХрд┐рдП) -- рдпрд╣ рд╕рдм рдЕрдЪреНрдЫрд╛ рд╣реИ
$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf 2>/dev/null | grep -A2 Ignoreregex
Ignoreregex: 2 total
|- #) [# of hits] regular expression
| 1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
$> grep ignoreregex config/filter.d/sshd.conf
# Option: ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
рд╢реБрдХреНрд░, реирез рджрд┐рд╕рдВрдмрд░ реирежрезреи рдХреЛ, рдЬреЗрдиреНрд╕-рдЖрдВрджреНрд░реЗ рдХреЛрдЪ рдиреЗ рд▓рд┐рдЦрд╛:
рдХреЙрдиреНрдлрд┐рдЧ рдлрд╛рдЗрд▓реЛрдВ рдореЗрдВ рдЗрдЧреНрдиреЛрд░рд░реЗрдЧреЗрдХреНрд╕ рд╡рд┐рдХрд▓реНрдк рдХрд╛рдо рдирд╣реАрдВ рдХрд░рддрд╛ (v0.8.4)ред
рдлреЗрд▓2рдмрд╛рди-рд░реЗрдЧреЗрдХреНрд╕ рдХреЗ рд╕рд╛рде рдкрд░реАрдХреНрд╖рдг рдХрд░рддреЗ рд╕рдордп "рдирд┐рдпрдорд┐рдд рд░реВрдк рд╕реЗ рд╕рдВрдХрд▓рд┐рдд рдХрд░рдиреЗ рдореЗрдВ рдЕрд╕рдорд░реНрде" рднреА рдирд╣реАрдВ
рдЕрднрд┐рд╡реНрдпрдХреНрддрд┐" рддреНрд░реБрдЯрд┐ рдлреЗрдВрдХ рджреА рдЧрдИ рд╣реИред
рдХреЛрдИ рдореИрдЪ рдирд╣реАрдВ:рдЗрдЧреНрдиреЛрд░рд░реЗрдЧреЗрдХреНрд╕
|- рд░реЗрдЧреБрд▓рд░ рдПрдХреНрд╕рдкреНрд░реЗрд╢рди:`- рдореИрдЪреЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛:
рдореБрдЭреЗ рдПрдХ рд╕рд╛рдорд╛рдиреНрдп рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╡рд┐рдХрд▓реНрдк рдпрд╛рдж рдЖ рд░рд╣рд╛ рд╣реИ рдпрд╛ рдпрд╣ рдПрдХ рдмрдЧ рд╣реИ?
рдпрд╛рд░реЛрд╕реНрд▓рд╛рд╡ рдУ. рд╣рд╛рд▓рдЪреЗрдВрдХреЛ
рдкреЛрд╕реНрдЯрдбреЙрдХреНрдЯреЛрд░рд▓ рдлреЗрд▓реЛ, рдордиреЛрд╡реИрдЬреНрдЮрд╛рдирд┐рдХ рдФрд░ рдорд╕реНрддрд┐рд╖реНрдХ рд╡рд┐рдЬреНрдЮрд╛рди рд╡рд┐рднрд╛рдЧ
рдбрд╛рд░реНрдЯрдорд╛рдЙрде рдХреЙрд▓реЗрдЬ, 419 рдореВрд░ рд╣реЙрд▓, рд╣рд┐рдирдореИрди рдмреЙрдХреНрд╕ 6207, рд╣рдиреЛрд╡рд░, рдПрдирдПрдЪ 03755
рдлреЛрди: +1 (603) 646-9834 рдлреИрдХреНрд╕: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
yarikoptic
21 рджрд┐рд╕ре░ 2012
:+1:
рдЖрд╣, рддреБрдо рд╕рд╣реА рд╣реЛред рдореБрдЭреЗ рд╕рд╣реА рддреАрд╕рд░реЗ рдкреИрд░рд╛рдореАрдЯрд░ рдкрд░ рдЗрдВрдЧрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдзрдиреНрдпрд╡рд╛рджред
рдореБрдЭреЗ рдЗрд╕реЗ рдкреЛрд╕реНрдЯ рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдореИрди рдкреЗрдЬ рдкрдврд╝рдирд╛ рдЪрд╛рд╣рд┐рдП рдерд╛ред
рд╡реИрд╕реЗ рднреА рдпрд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf
рдореИрдВ рдорд╛рдорд▓рд╛ рдмрдВрдж рдХрд░ рд░рд╣рд╛ рд╣реВрдВред рдХреНрд░рд┐рд╕рдорд╕ рдХреА рдмрдзрд╛рдИред рдЕрд▓рд╡рд┐рджрд╛ред
jakoch
21 рджрд┐рд╕ре░ 2012
рдХреНрд░рд┐рд╕рдорд╕ рдХреА рдмрдзрд╛рдИ! ;)
рд╢реБрдХреНрд░, реирез рджрд┐рд╕рдВрдмрд░ реирежрезреи рдХреЛ, рдЬреЗрдиреНрд╕-рдЖрдВрджреНрд░реЗ рдХреЛрдЪ рдиреЗ рд▓рд┐рдЦрд╛:
[1]:+1:
рдЖрд╣, рддреБрдо рд╕рд╣реА рд╣реЛред рдореБрдЭреЗ рд╕рд╣реА рддреАрд╕рд░реЗ рдкреИрд░рд╛рдореАрдЯрд░ рдкрд░ рдЗрдВрдЧрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдзрдиреНрдпрд╡рд╛рджред
рдореБрдЭреЗ рдЗрд╕реЗ рдкреЛрд╕реНрдЯ рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдореИрди рдкреЗрдЬ рдкрдврд╝рдирд╛ рдЪрд╛рд╣рд┐рдП рдерд╛ред
рд╡реИрд╕реЗ рднреА рдпрд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ:
рд╡рд┐рдлрд▓2рдмрд╛рди-рд░реЗрдЧреЗрдХреНрд╕ рддреНрд░реБрдЯрд┐.рд▓реЙрдЧ /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.confрдореИрдВ рдорд╛рдорд▓рд╛ рдмрдВрдж рдХрд░ рд░рд╣рд╛ рд╣реВрдВред рдХреНрд░рд┐рд╕рдорд╕ рдХреА рдмрдзрд╛рдИред рдЕрд▓рд╡рд┐рджрд╛ред
-
рдЗрд╕ рдИрдореЗрд▓ рдХрд╛ рд╕реАрдзреЗ рдЙрддреНрддрд░ рджреЗрдВ рдпрд╛ [2] рдЗрд╕реЗ GitHub рдкрд░ рджреЗрдЦреЗрдВредрд╕рдВрджрд░реНрдн
рджреГрд╢реНрдпрдорд╛рди рд▓рд┐рдВрдХ
рдпрд╛рд░реЛрд╕реНрд▓рд╛рд╡ рдУ. рд╣рд╛рд▓рдЪреЗрдВрдХреЛ
рдкреЛрд╕реНрдЯрдбреЙрдХреНрдЯреЛрд░рд▓ рдлреЗрд▓реЛ, рдордиреЛрд╡реИрдЬреНрдЮрд╛рдирд┐рдХ рдФрд░ рдорд╕реНрддрд┐рд╖реНрдХ рд╡рд┐рдЬреНрдЮрд╛рди рд╡рд┐рднрд╛рдЧ
рдбрд╛рд░реНрдЯрдорд╛рдЙрде рдХреЙрд▓реЗрдЬ, 419 рдореВрд░ рд╣реЙрд▓, рд╣рд┐рдирдореИрди рдмреЙрдХреНрд╕ 6207, рд╣рдиреЛрд╡рд░, рдПрдирдПрдЪ 03755
рдлреЛрди: +1 (603) 646-9834 рдлреИрдХреНрд╕: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik
yarikoptic
21 рджрд┐рд╕ре░ 2012
рд╕рдВрдмрдВрдзрд┐рдд рдореБрджреНрджреЛрдВ
Skyridr
┬╖
3рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдБ
thereporter42
┬╖
7рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдБ
eNTi
┬╖
4рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдБ
AleksCee
┬╖
5рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдБ
electrofloat
┬╖
3рдЯрд┐рдкреНрдкрдгрд┐рдпрд╛рдБ
рд╕рдмрд╕реЗ рдЙрдкрдпреЛрдЧреА рдЯрд┐рдкреНрдкрдгреА
:+1:
рдЖрд╣, рддреБрдо рд╕рд╣реА рд╣реЛред рдореБрдЭреЗ рд╕рд╣реА рддреАрд╕рд░реЗ рдкреИрд░рд╛рдореАрдЯрд░ рдкрд░ рдЗрдВрдЧрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдзрдиреНрдпрд╡рд╛рджред
рдореБрдЭреЗ рдЗрд╕реЗ рдкреЛрд╕реНрдЯ рдХрд░рдиреЗ рд╕реЗ рдкрд╣рд▓реЗ рдореИрди рдкреЗрдЬ рдкрдврд╝рдирд╛ рдЪрд╛рд╣рд┐рдП рдерд╛ред
рд╡реИрд╕реЗ рднреА рдпрд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ:
рдореИрдВ рдорд╛рдорд▓рд╛ рдмрдВрдж рдХрд░ рд░рд╣рд╛ рд╣реВрдВред рдХреНрд░рд┐рд╕рдорд╕ рдХреА рдмрдзрд╛рдИред рдЕрд▓рд╡рд┐рджрд╛ред