[Erledigt] iptables apache anbindung

[fulltilt]

Danke Rene,

und wenn ich die *-combinied.log nehme müsste es doch auch klappen, da werden die 403s von modsecurity mitgeloggt.
In der regex verwende ich dann:

Code:

HTTP/1.1" 403 1136 "

Code:

82.165.180.214 - - [22/Feb/2008:10:10:38 +0100] "GET /index.php?option=com_xxxxxx&Itemid=&mosConfig_absolute_path=http://askastro.com/bo.do?? HTTP/1.1" 403 1136 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.8) Gecko/20050511"

ist es so richtig?
Oder meinst Du das fail2ban mit einzelnen User Logs zu viele resourcen verbraucht ...

Rene Wrote:Hallo,

Quote:Die IP des Angreifers müsste wohl direkt vorne stehen mit dem Teil der regex

Quote:

Code:

failregex = [[]client <HOST>[]] Message: Access denied with code 403

also wenn du das so formulierst, dann ja

du solltest es schon anpassen und nicht einfach aus anderen Regeln kopieren ohne zu wissen was es bedeutet.

wenn im log ein Zweizeiler ist, hast du pech. die IP muss in der selben Zeile stehen wie die Fehlermeldung.

Edit:
Die Zeile musst du nutzen:

Quote:

Code:

[21/Feb/2008:10:30:30 +0100] wbi3aMMYTXsAAGuGDoQAAAAX xx.117.225.155 33139 xxx.xx.xx.xxx 80

[Rene]

ja damit sollte es machbar sein und solang die logdatei nicht zu groß wird hält es sich mit den resourcen in grenzen

Code:

failregex = <HOST> - -.*HTTP/1.1" 403.*

Sollte so funktionieren, allterdings bin ich mir nicht so sicher...
Falls es nicht klappt, werde ich es mit morgen nochmal genauer angucken, bin jetzt weg...

[fulltilt]

ah ... werde ich gleich mal testen.
Danke Dir

Rene Wrote:ja damit sollte es machbar sein und solang die logdatei nicht zu groß wird hält es sich mit den resourcen in grenzen

Code:

failregex = <HOST> - -.*HTTP/1.1" 403.*

Sollte so funktionieren, allterdings bin ich mir nicht so sicher...
Falls es nicht klappt, werde ich es mit morgen nochmal genauer angucken, bin jetzt weg...

[fulltilt]

Hi Rene,

Du hast das echt drauf, klappt soweit
Hab jetzt nur das Problem das fail2ban sich dabei aufhängt ...
habe mal die Bantime von 600 auf 6000 erhöht.
Oder hast Du vieleicht noch eine Idee?
Da kam ziemlich viel auf einmal ...

Code:

2008-02-23 19:27:32,613 fail2ban.actions: WARNING [apache-modsec] Ban 84.18.198.45
2008-02-23 19:31:26,960 fail2ban.actions: WARNING [apache-modsec] Ban 69.65.40.218
2008-02-23 19:31:58,965 fail2ban.actions: WARNING [apache-modsec] Ban 66.7.206.114
2008-02-23 19:32:28,970 fail2ban.actions: WARNING [apache-modsec] Ban 89.234.7.39
2008-02-23 19:33:16,977 fail2ban.actions: WARNING [apache-modsec] Ban 65.98.28.18
2008-02-23 19:33:25,989 fail2ban.actions: WARNING [apache-modsec] Ban 66.196.43.232
2008-02-23 19:33:41,178 fail2ban.actions: WARNING [apache-modsec] Ban 216.246.32.129
2008-02-23 19:34:19,184 fail2ban.actions: WARNING [apache-modsec] Ban 85.10.140.131
2008-02-23 19:34:49,197 fail2ban.actions: WARNING [apache-modsec] Ban 207.150.166.200
2008-02-23 19:35:21,202 fail2ban.actions: WARNING [apache-modsec] Ban 74.200.70.58
2008-02-23 19:35:28,207 fail2ban.actions: WARNING [apache-modsec] Ban 71.6.131.4
2008-02-23 19:36:01,216 fail2ban.actions: WARNING [apache-modsec] Ban 85.233.165.91
2008-02-23 19:37:33,236 fail2ban.actions: WARNING [apache-modsec] Unban 84.18.198.45
2008-02-23 19:37:33,324 fail2ban.server : INFO   Exiting Fail2ban

[Rene]

ersteinmal danke für die reputation

was steht denn in deiner jail.conf?

also der geht erstmal den ganzen log durch und wendet die regeln natürlich an. Wenn dieses File groß ist, dann lastet es schon sehr den server aus. Aber danach sollte es gehen

[fulltilt]

Hi Rene,

die log rotation in /apache* steht momentan auf max. 8MB, das sollte eigentlich nicht zu groß sein, oder?
Das Problem ist wenn fail2ban hängt, ist der socket noch in /tmp vorhanden. Den muss ich dann löschen und den process killen, dann fail2ban starten. Ist zwar keine Lösung, aber könnte man vieleicht über ein Script per Cron jede Stunde laufen lassen ...
Oder könnte es sein das es etwas mit den Schreibrechten auf dem /tmp Folder zu tun hat - also das jemand den Socket manipuliert ...

hier die jail.conf

Code:

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 6000
maxretry = 3

[ssh]
enabled = true
port    = ssh
filter    = sshd
logpath  = /var/log/auth.log
maxretry = 2

[apache]
enabled = true
port    = http
filter  = apache-auth
logpath = /var/log/apache2/users/*access.log
maxretry = 6

[apache-modsec]
enabled = true
port    = http
filter  = apache-modsec
logpath = /var/log/apache*/*-combined.log
maxretry = 1

[apache-noscript]
enabled = true
port    = http
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[proftpd]
enabled  = true
port     = ftp
filter   = proftpd
logpath  = /var/log/auth.log
maxretry = 3

[Rene]

setz mal vorrübergehend, bis der das Logfile durch hat, maxretry auf 10 (oder evtl. höher)...

[fulltilt]

Rene Wrote:setz mal vorrübergehend, bis der das Logfile durch hat, maxretry auf 10 (oder evtl. höher)...

O.K. werde ich mal probieren.
Hier wäre noch eine Möglichkeit .. eventl. fail2ban per cron stündlich restarten und diese Änderungen:

Code:

If fail2ban does not start correctly after a system crash or power loss, check to see whether the socket file still exists:

# rm /tmp/fail2ban.sock
# /etc/init.d/fail2ban start
* Starting fail2ban ...            [ ok ]

You can add the following to /etc/conf.d/fail2ban to prevent it from happening again.

FAIL2BAN_OPTIONS="-x"

The -x option will force fail2ban to overwrite the current stale socket.

[Rene]

habe gerade bei mir gesehen, habe auch eine socket datei, jedoch funktioniert bei mir fail2ban weiterhin.
kann es sein, das es bei dir auch so ist?

[fulltilt]

Rene Wrote:habe gerade bei mir gesehen, habe auch eine socket datei, jedoch funktioniert bei mir fail2ban weiterhin.
kann es sein, das es bei dir auch so ist?

Also wenn es nach einem heftigen Angriff hängt, blockt fail2ban nicht mehr, obwohl der Socket noch da ist.
Ich versuche mal per Cron jede Stunde das:

Code:

/etc/init.d/fail2ban force-reload -x

damit wird der Socket vor dem reload gelöscht und fail2ban läuft wieder.
Allerdings, ist auch nur eine Notlösung :-)