Filtre fail2ban personnalisé pour les tentatives de bruteforce phpMyadmin

Dans ma quête pour bloquer les tentatives de phpMyAdminconnexion infructueuses excessives avec fail2ban, j'ai créé un script qui enregistre les tentatives infructueuses dans un fichier:/var/log/phpmyadmin_auth.log

Journal personnalisé

Le format du /var/log/phpmyadmin_auth.logfichier est:

phpMyadmin login failed with username: root; ip: 192.168.1.50; url: http://somedomain.com/phpmyadmin/index.php
phpMyadmin login failed with username: ; ip: 192.168.1.50; url: http://192.168.1.48/phpmyadmin/index.php

Filtre personnalisé

[Definition]

# Count all bans in the logfile
failregex = phpMyadmin login failed with username: .*; ip: <HOST>;

prison phpMyAdmin

[phpmyadmin]

enabled  = true
port    = http,https
filter   = phpmyadmin
action   = sendmail-whois[name=HTTP]
logpath  = /var/log/phpmyadmin_auth.log
maxretry = 6

Le fail2banjournal contient:

2012-10-04 10:52:22,756 fail2ban.server : INFO   Stopping all jails
2012-10-04 10:52:23,091 fail2ban.jail   : INFO   Jail 'ssh-iptables' stopped
2012-10-04 10:52:23,866 fail2ban.jail   : INFO   Jail 'fail2ban' stopped
2012-10-04 10:52:23,994 fail2ban.jail   : INFO   Jail 'ssh' stopped
2012-10-04 10:52:23,994 fail2ban.server : INFO   Exiting Fail2ban
2012-10-04 10:52:24,253 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2012-10-04 10:52:24,253 fail2ban.jail   : INFO   Creating new jail 'ssh'
2012-10-04 10:52:24,253 fail2ban.jail   : INFO   Jail 'ssh' uses poller
2012-10-04 10:52:24,260 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2012-10-04 10:52:24,260 fail2ban.filter : INFO   Set maxRetry = 6
2012-10-04 10:52:24,261 fail2ban.filter : INFO   Set findtime = 600
2012-10-04 10:52:24,261 fail2ban.actions: INFO   Set banTime = 600
2012-10-04 10:52:24,279 fail2ban.jail   : INFO   Creating new jail 'ssh-iptables'
2012-10-04 10:52:24,279 fail2ban.jail   : INFO   Jail 'ssh-iptables' uses poller
2012-10-04 10:52:24,279 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2012-10-04 10:52:24,280 fail2ban.filter : INFO   Set maxRetry = 5
2012-10-04 10:52:24,280 fail2ban.filter : INFO   Set findtime = 600
2012-10-04 10:52:24,280 fail2ban.actions: INFO   Set banTime = 600
2012-10-04 10:52:24,287 fail2ban.jail   : INFO   Creating new jail 'fail2ban'
2012-10-04 10:52:24,287 fail2ban.jail   : INFO   Jail 'fail2ban' uses poller
2012-10-04 10:52:24,287 fail2ban.filter : INFO   Added logfile = /var/log/fail2ban.log
2012-10-04 10:52:24,287 fail2ban.filter : INFO   Set maxRetry = 3
2012-10-04 10:52:24,288 fail2ban.filter : INFO   Set findtime = 604800
2012-10-04 10:52:24,288 fail2ban.actions: INFO   Set banTime = 604800
2012-10-04 10:52:24,292 fail2ban.jail   : INFO   Jail 'ssh' started
2012-10-04 10:52:24,293 fail2ban.jail   : INFO   Jail 'ssh-iptables' started
2012-10-04 10:52:24,297 fail2ban.jail   : INFO   Jail 'fail2ban' started

Quand j'émets:

sudo service fail2ban restart

fail2banm'envoie un e- sshmail pour me dire que j'ai redémarré, mais je ne reçois aucun e-mail de ce type concernant ma phpmyadminprison. Les échecs de connexion répétés phpMyAdminne provoquent pas l'envoi d'un e-mail.

Ai-je manqué une configuration critique? L'expression régulière de mon filtre est-elle incorrecte?

Mise à jour: ajout de modifications par rapport à l'installation par défaut

Commencer par une fail2baninstallation propre :

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Changer l'adresse e-mail pour la mienne, l'action pour:

action = %(action_mwl)s

Ajoutez ce qui suit à jail.local

[phpmyadmin]

enabled  = true
port     = http,https
filter   = phpmyadmin
action   = sendmail-whois[name=HTTP]
logpath  = /var/log/phpmyadmin_auth.log
maxretry = 4

Ajoutez ce qui suit à /etc/fail2ban/filter.d/phpmyadmin.conf

# phpmyadmin configuration file
#
# Author: Michael Robinson
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>\S+)
# Values:  TEXT
#

# Count all bans in the logfile
failregex = phpMyadmin login failed with username: .*; ip: <HOST>;

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#

# Ignore our own bans, to keep our counts exact.
# In your config, name your jail 'fail2ban', or change this line!
ignoreregex =

Redémarrer fail2ban

sudo service fail2ban restart

PS: j'aime les œufs

C'est bien, mais pourquoi ne pas utiliser la fonctionnalité Apache pour enregistrer les connexions qui ont échoué?

Ajoutez ces lignes à votre configuration Apache (par exemple: /etc/apache2/conf.d/phpmyadmin.conf) dans la section VirtualHost correspondante:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %{userID}n %{userStatus}n" pma_combined
CustomLog /var/log/apache2/phpmyadmin_access.log pma_combined

Créez ensuite le filtre fail2ban:

/etc/fail2ban/filter.d/phpmyadmin.conf

[Definition]
denied = mysql-denied|allow-denied|root-denied|empty-denied
failregex = ^<HOST> -.*(?:%(denied)s)$
ignoreregex =

Maintenant, ajoutez la prison à /etc/fail2ban/jail.local

[phpmyadmin]
enabled = true
port = http,https
filter = phpmyadmin
logpath = /var/log/apache2/phpmyadmin_access.log

Redémarrez apache et fail2ban:

service  apache2 reload
service fail2ban reload

et vous avez terminé, pas besoin de scripts php ainsi de suite ..

1. Vous devez modifier votre script pour inclure l'horodatage dans les fichiers journaux. Sans cela, fail2ban ne fonctionnera pas

2. utiliser fail2ban-regex /var/log/phpmyadmin_auth.log /etc/fail2ban/filter.d/phpmyadmin.confpour vérifier votre regex en premier.

3. Je pourrais démarrer fail2ban avec succès en utilisant votre configuration d'origine (avant jail.local)

   Oct  7 00:42:07 hostname yum: Installed: python-inotify-0.9.1-1.el5.noarch 
   Oct  7 00:42:08 hostname yum: Installed: fail2ban-0.8.4-29.el5.noarch
   Oct  7 00:42:10 hostname yum: Installed: phpMyAdmin-2.11.11.3-2.el5.noarch
   Oct  7 01:01:03 hostname fail2ban.server : INFO   Changed logging target to SYSLOG for Fail2ban v0.8.4
   Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Creating new jail 'phpmyadmin'
   Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' uses Gamin
   Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set maxRetry = 2
   Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set findtime = 600
   Oct  7 01:01:03 hostname fail2ban.actions: INFO   Set banTime = 600
   Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Creating new jail 'ssh-iptables'
   Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'ssh-iptables' uses Gamin
   Oct  7 01:01:03 hostname fail2ban.filter : INFO   Added logfile = /var/log/secure
   Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set maxRetry = 5
   Oct  7 01:01:03 hostname fail2ban.filter : INFO   Set findtime = 600
   Oct  7 01:01:03 hostname fail2ban.actions: INFO   Set banTime = 600
   Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' started
   Oct  7 01:01:03 hostname fail2ban.jail   : INFO   Jail 'ssh-iptables' started
   Oct  7 01:10:54 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' stopped
   Oct  7 01:10:55 hostname fail2ban.jail   : INFO   Jail 'ssh-iptables' stopped
   Oct  7 01:10:55 hostname fail2ban.server : INFO   Exiting Fail2ban
   Oct  7 01:10:56 hostname fail2ban.server : INFO   Changed logging target to SYSLOG for Fail2ban v0.8.4
   Oct  7 01:10:56 hostname fail2ban.jail   : INFO   Creating new jail 'phpmyadmin'
   Oct  7 01:10:56 hostname fail2ban.jail   : INFO   Jail 'phpmyadmin' uses Gamin
   Oct  7 01:10:56 hostname fail2ban.filter : INFO   Added logfile = /var/log/phpmyadmin_auth.log
   

4. Une fois que les expressions rationnelles correctes sont en place, vous pouvez utiliser l'audit pour voir si votre fichier est accessible ou non par fail2ban.

j'ai utilisé auditctl -w /var/log/phpmyadmin_auth.log -p warx -k phpmyadmin_fail2ban