Título: Sus reglas personalizadas con fail2ban Publicado por: engel lex en 28 Diciembre 2017, 09:06 am Hola!
decido abrir este tema para ver que util se consigue y aportar... vamos a dejar aquí nuestras reglas personalizadas de fail2ban ;) esta primera que dejo, la cree porque tengo gente muy fastidiosa con bots, así que decidí frenarlos con todo XD una cosa peculiar de gran parte de los bots es que no tienen user agent o no mandan host en la conexión... esto se ve reflejado por guiones al final de la linea en el log de accesos de apache, ejemplo Código: xxx.xxx.xxx.xxx - - [01/Dec/2017:00:00:02 -0600] "GET www.xxxxxxxxxxxxx.com:443 HTTP/1.1" 200 5363 "-" "-" así que explotando esto decidí hacer una regla muy agresiva y listo Código: failregex = ^<HOST> - .*"CONNECT.*HTTP.*$ # no acepto este tipo de peticiones agresivo dije Código: [apache-agresive] si, se que puede ser demasiado, pero una petición formal de un navegador común no tiene nada de eso... Título: Re: Sus reglas personalizadas con fail2ban Publicado por: WHK en 6 Agosto 2019, 06:05 am Acá va otro para la detección de robots:
/etc/fail2ban/filter.d/whk-httpd-bots.conf Código: [Definition] Después se habilita en /etc/fail2ban/jail.local y le decimos que aplique un baneo automático al iptables: Código: [whk-httpd-bots] Finalmente se reinicia el servicio y ya: Código: # systemctl restart fail2ban Recordar que se está utilizando el log de accesos con ruta por defecto, cualquier cambio hay que indicar la ruta manualmente. Título: Re: Sus reglas personalizadas con fail2ban Publicado por: WHK en 6 Agosto 2019, 06:11 am Acá va otro para banear el abuso de accesos denegados (filtros por htaccess y similares):
/etc/fail2ban/filter.d/whk-httpd-403.conf Código: [Definition] Baneamos al tercer intento seguido: nano /etc/fail2ban/jail.local Código: [whk-httpd-403] |