elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Sus reglas personalizadas con fail2ban
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Sus reglas personalizadas con fail2ban  (Leído 3,673 veces)
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Sus reglas personalizadas con fail2ban
« en: 28 Diciembre 2017, 09:06 am »

Hola!

decido abrir este tema para ver que util se consigue y aportar...

vamos a dejar aquí nuestras reglas personalizadas de fail2ban ;)

esta primera que dejo, la cree porque tengo gente muy fastidiosa con bots, así que decidí frenarlos con todo XD

una cosa peculiar de gran parte de los bots es que no tienen user agent o no mandan host en la conexión... esto se ve reflejado por guiones al final de la linea en el log de accesos de apache, ejemplo

Código:
xxx.xxx.xxx.xxx - - [01/Dec/2017:00:00:02 -0600] "GET www.xxxxxxxxxxxxx.com:443 HTTP/1.1" 200 5363 "-" "-"
xxx.xxx.xxx.xxx - - [01/Dec/2017:00:00:17 -0600] "GET http://yyyyyyyyy.me/control/includes/version.php HTTP/1.1" 404 1287 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1944.0 Safari/537.36"


así que explotando esto decidí hacer una regla muy agresiva y listo


Código:
failregex = ^<HOST> - .*"CONNECT.*HTTP.*$ # no acepto este tipo de peticiones
            ^<HOST> - .*"\\x03.*$   # mala solicitud ssl? a quien le importa
            ^<HOST> - .*"\\x16\\x03.*$ # lo mismo de arriba
            ^<HOST> - .*"USER.*$ # nope... esto en http está mal
            ^<HOST> - .*HTTP.*\d+ \d+ "-" ".*$ # sin solicitar host no se entra

agresivo dije

Código:
[apache-agresive]
enabled = true
port = http,https
filter = apache-agresive
logpath = /var/log/apache2/access* #vhosts con sus propios logs
maxretry = 1 # agresivo...
findtime = 84600 # 24 horas
bantime = 8460000 # 100 dias


si, se que puede ser demasiado, pero una petición formal de un navegador común no tiene nada de eso...


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Sus reglas personalizadas con fail2ban
« Respuesta #1 en: 6 Agosto 2019, 06:05 am »

Acá va otro para la detección de robots:

/etc/fail2ban/filter.d/whk-httpd-bots.conf

Código:
[Definition]
badbots = dav\.pm|libwww\-perl|python\-|typhoeus|winhttp|autoit|Java|java|sqlmap|hydra|\.nasl|email\s+extractor|arachni\/|autogetcontent|bilbo|BFAC|brutus|bsqlbf|cgichk|cisco\-torch|commix|core\-project\/|crimscanner|datacha0s|dirbuster|domino\s+hunter|dotdotpwn|fhscan|floodgate|f\-Secure|get\-minimal|auto\-rooter|grabber|grendel\-scan|havij|inspath|internet\s+ninja|jaascois|zmeu|masscan|metis|scanner|mysqloit|n\-stealth|nessus|netsparker|nikto|nmap|nsauditor|openvas|pangolin|paros|pmafind|customcrawler|qualys|s\.t\.a\.l\.k\.e\.r\.|security\s+scan|springenwerk|injector|lobster|exploit|dragostea|uil2pn|vega\/|voideye|w3af|webbandit|webinspect|webshag|analyzer|webvulnscan|whatweb|whcc|grabber|WPScan|struts\-pwn|fuck|pwned|hacker
failregex = ^<HOST> -.*?"(GET|POST|HEAD)\s.+HTTP.+?"\s\d+\s\d+\s".+?"\s".*?%(badbots)s.*?"$
ignoreregex =

Después se habilita en /etc/fail2ban/jail.local y le decimos que aplique un baneo automático al iptables:

Código:
[whk-httpd-bots]
enabled  = true
port     = http,https
logpath  = %(apache_access_log)s
maxretry = 1
action   = iptables-allports

Finalmente se reinicia el servicio y ya:

Código:
# systemctl restart fail2ban
# fail2ban-client status whk-httpd-bots
Status for the jail: whk-httpd-bots
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 0
|  `- File list: /var/log/httpd/access_log
`- Actions
   |- Currently banned: 0
   |- Total banned: 0
   `- Banned IP list:

Recordar que se está utilizando el log de accesos con ruta por defecto, cualquier cambio hay que indicar la ruta manualmente.


En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Sus reglas personalizadas con fail2ban
« Respuesta #2 en: 6 Agosto 2019, 06:11 am »

Acá va otro para banear el abuso de accesos denegados (filtros por htaccess y similares):

/etc/fail2ban/filter.d/whk-httpd-403.conf

Código:
[Definition]
failregex = ^<HOST> -.*?"(GET|POST|HEAD|OPTIONS|TRACE)\s.+HTTP.+?"\s403\s
ignoreregex =


Baneamos al tercer intento seguido:

nano /etc/fail2ban/jail.local

Código:
[whk-httpd-403]
enabled  = true
port     = http,https
logpath  = %(apache_access_log)s
maxretry = 3
action   = iptables-allports
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Firmas personalizadas
Sugerencias y dudas sobre el Foro
_ 9 5,002 Último mensaje 23 Agosto 2010, 10:06 am
por sirdarckcat
PROBLEMAS CON FAIL2BAN!!!! <solucionado>
GNU/Linux
xarlyuno 1 3,517 Último mensaje 19 Agosto 2011, 12:07 pm
por xarlyuno
Parecidos a Fail2Ban? [Windows]
Seguridad
WIитX 6 5,991 Último mensaje 5 Diciembre 2014, 18:51 pm
por WIитX
¿Alguien sabe como filtrar phpmyadmin con fail2ban ?
Seguridad
small-grasshopper 4 3,072 Último mensaje 23 Febrero 2015, 16:08 pm
por small-grasshopper
[Fail2ban] Dejó de autobanear después de actualizar !
GNU/Linux
Diabliyo 1 2,703 Último mensaje 3 Enero 2016, 04:39 am
por Diabliyo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines