phpMyadmin bruteforce 시도에 대한 사용자 정의 fail2ban 필터

9

phpMyAdmin과 (와)의 과도한 로그인 시도 를 차단 fail2ban하기 위해 실패한 시도를 파일에 기록하는 스크립트를 만들었습니다./var/log/phpmyadmin_auth.log

맞춤 로그

/var/log/phpmyadmin_auth.log파일 형식 은 다음과 같습니다.

phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php
phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php

맞춤 필터

[Definition]

# Count all bans in the logfile
failregex = phpMyadmin login failed with username: .*; ip: <HOST>;

phpMyAdmin 감옥

[phpmyadmin]

enabled  = true
port    = http,https
filter   = phpmyadmin
action   = sendmail-whois[name=HTTP]
logpath  = /var/log/phpmyadmin_auth.log
maxretry = 6

fail2ban로그에는 다음 이 포함됩니다.

2012-10-04 10:52:22,756 fail2ban.server : INFO   Stopping all jails
2012-10-04 10:52:23,091 fail2ban.jail   : INFO   Jail 'ssh-iptables' stopped
2012-10-04 10:52:23,866 fail2ban.jail   : INFO   Jail 'fail2ban' stopped
2012-10-04 10:52:23,994 fail2ban.jail   : INFO   Jail 'ssh' stopped
2012-10-04 10:52:23,994 fail2ban.server : INFO   Exiting Fail2ban
2012-10-04 10:52:24,253 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2012-10-04 10:52:24,253 fail2ban.jail   : INFO   Creating new jail 'ssh'
2012-10-04 10:52:24,253 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2012-10-04 10:52:24,260 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2012-10-04 10:52:24,260 fail2ban.filter : INFO   Set maxRetry = 6
2012-10-04 10:52:24,261 fail2ban.filter : INFO   Set findtime = 600
2012-10-04 10:52:24,261 fail2ban.actions: INFO   Set banTime = 600
2012-10-04 10:52:24,279 fail2ban.jail   : INFO   Creating new jail 'ssh-iptables'
2012-10-04 10:52:24,279 fail2ban.jail   : INFO   Jail 'ssh-iptables' uses poller
2012-10-04 10:52:24,279 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2012-10-04 10:52:24,280 fail2ban.filter : INFO   Set maxRetry = 5
2012-10-04 10:52:24,280 fail2ban.filter : INFO   Set findtime = 600
2012-10-04 10:52:24,280 fail2ban.actions: INFO   Set banTime = 600
2012-10-04 10:52:24,287 fail2ban.jail   : INFO   Creating new jail 'fail2ban'
2012-10-04 10:52:24,287 fail2ban.jail   : INFO   Jail 'fail2ban' uses poller
2012-10-04 10:52:24,287 fail2ban.filter : INFO   Added logfile = /var/log/fail2ban.log
2012-10-04 10:52:24,287 fail2ban.filter : INFO   Set maxRetry = 3
2012-10-04 10:52:24,288 fail2ban.filter : INFO   Set findtime = 604800
2012-10-04 10:52:24,288 fail2ban.actions: INFO   Set banTime = 604800
2012-10-04 10:52:24,292 fail2ban.jail   : INFO   Jail 'ssh' started
2012-10-04 10:52:24,293 fail2ban.jail   : INFO   Jail 'ssh-iptables' started
2012-10-04 10:52:24,297 fail2ban.jail   : INFO   Jail 'fail2ban' started

발행 할 때 :

sudo service fail2ban restart

fail2ban이메일 ssh이 다시 시작 되었다고 했지만 phpmyadmin감옥 에 관한 이메일을받지 못했습니다 . 로그인이 반복 phpMyAdmin되지 않아 이메일이 전송되지 않습니다.

중요한 설정을 놓친 적이 있습니까? 필터의 정규식이 잘못 되었습니까?

업데이트 : 기본 설치에서 변경된 사항 추가

새로 fail2ban설치로 시작 :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

이메일 주소를 내 것으로 변경하고 다음 작업을 수행하십시오.

action = %(action_mwl)s

다음에 추가 jail.local

[phpmyadmin]

enabled  = true
port     = http,https
filter   = phpmyadmin
action   = sendmail-whois[name=HTTP]
logpath  = /var/log/phpmyadmin_auth.log
maxretry = 4

에 다음을 추가하십시오 /etc/fail2ban/filter.d/phpmyadmin.conf

# phpmyadmin configuration file
#
# Author: Michael Robinson
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

# Count all bans in the logfile
failregex = phpMyadmin login failed with username: .*; ip: <HOST>;

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#

# Ignore our own bans, to keep our counts exact.
# In your config, name your jail 'fail2ban', or change this line!
ignoreregex =

재시작 fail2ban

sudo service fail2ban restart

PS : 난 계란이 좋아

security  configuration  fail2ban 
마이클 로빈슨
소스
1
구성에서 새 감옥을 집어 들지 않는 것 같습니다. 변경 한 파일을 정확하게 지정하십시오.
mgorven
@mgorven 변경 한 사항에 대한 포괄적 인 개요로 질문을 업데이트했습니다
Michael Robinson
이 실제 로그인은 phpmyadmin 인스턴스에 대한 시도 입니까, 아니면 단순히 스캐너 가 phpmyadmin을 찾고 있습니까?
Scott Pack
나는 그들이 후자라고 믿는다
Michael Robinson

답변:

8

괜찮지 만 아파치 기능을 사용하여 로그인 실패를 기록하지 않는 이유는 무엇입니까?

해당 VirtualHost 섹션에서 Apache Config (예 : /etc/apache2/conf.d/phpmyadmin.conf)에 다음 행을 추가하십시오.

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %{userID}n %{userStatus}n" pma_combined
CustomLog /var/log/apache2/phpmyadmin_access.log pma_combined

그런 다음 fail2ban 필터를 작성하십시오.

/etc/fail2ban/filter.d/phpmyadmin.conf

[Definition]
denied = mysql-denied|allow-denied|root-denied|empty-denied
failregex = ^<HOST> -.*(?:%(denied)s)$
ignoreregex =

이제 감옥을 /etc/fail2ban/jail.local에 추가하십시오

[phpmyadmin]
enabled = true
port = http,https
filter = phpmyadmin
logpath = /var/log/apache2/phpmyadmin_access.log

아파치를 다시 시작하고 fail2ban :

service  apache2 reload
service fail2ban reload

그리고 당신은 PHP 스크립트가 필요하지 않습니다 ..

우주 비행사
소스
3
직접 편집하지 말고 jail.conf대신 사본을 만드십시오jail.local
NineCattoRules
당신은 맞습니다 @Simone, 나는 대답을 수정했습니다, 고마워요
spacebiker
솔루션에 문제가 있습니다. 다음을 참조하십시오 : serverfault.com/questions/815396/…
2

  1. 로그 파일에 타임 스탬프를 포함하도록 스크립트를 변경해야합니다. 이것이 없으면 fail2ban이 작동하지 않습니다

  2. fail2ban-regex /var/log/phpmyadmin_auth.log /etc/fail2ban/filter.d/phpmyadmin.conf정규식을 먼저 확인 하는 데 사용하십시오.

  3. 원래 구성을 사용하여 fail2ban을 성공적으로 시작할 수 있습니다 (jail.local 이전).

    Oct  7 00:42:07 hostname yum: Installed: python-inotify-0.9.1-1.el5.noarch 
Oct  7 00:42:08 hostname yum: Installed: fail2ban-0.8.4-29.el5.noarch
Oct  7 00:42:10 hostname yum: Installed: phpMyAdmin-2.11.11.3-2.el5.noarch
Oct  7 01:01:03 hostname fail2ban.server : INFO   Changed logging target to SYSLOG for Fail2ban v0.8.4
Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Creating new jail 'phpmyadmin'
Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' uses Gamin
Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set maxRetry = 2
Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set findtime = 600
Oct  7 01:01:03 hostname fail2ban.actions: INFO   Set banTime = 600
Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Creating new jail 'ssh-iptables'
Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'ssh-iptables' uses Gamin
Oct  7 01:01:03 hostname fail2ban.filter : INFO   Added logfile = /var/log/secure
Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set maxRetry = 5
Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set findtime = 600
Oct  7 01:01:03 hostname fail2ban.actions: INFO   Set banTime = 600
Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' started
Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'ssh-iptables' started
Oct  7 01:10:54 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' stopped
Oct  7 01:10:55 hostname fail2ban.jail   : INFO   Jail 'ssh-iptables' stopped
Oct  7 01:10:55 hostname fail2ban.server : INFO   Exiting Fail2ban
Oct  7 01:10:56 hostname fail2ban.server : INFO   Changed logging target to SYSLOG for Fail2ban v0.8.4
Oct  7 01:10:56 hostname fail2ban.jail   : INFO   Creating new jail 'phpmyadmin'
Oct  7 01:10:56 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' uses Gamin
Oct  7 01:10:56 hostname fail2ban.filter : INFO   Added logfile = /var/log/phpmyadmin_auth.log

  4. 올바른 정규 표현식이 설정되면 audit2ban이 파일을 액세스하는지 여부를 확인하기 위해 감사를 사용할 수 있습니다.

나는 사용했다 auditctl -w /var/log/phpmyadmin_auth.log -p warx -k phpmyadmin_fail2ban

네할 다 타니
소스
내가 솔루션에 문제가있어, 참조하십시오 serverfault.com/questions/815396/...
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.