Fail2ban não está funcionando no Ubuntu

2

Eu notei um monte desses w00tw00t pedidos que chegam ao meu servidor Ubuntu 12.04 e então eu instalado fail2ban. Eu segui estas instruções na configuração do Fail2ban em relação às solicitações w00tw00t. Certifiquei-me de nomear os arquivos corretamente e reiniciar o fail2ban após a alteração da configuração.

Eu testei digitando vários parâmetros w00tw00t no meu URL, assim como os invasores fazem, mas nenhum me baniria. Eu não adicionei meu IP a uma lista de ignorar. Eu até tentei do meu celular, ainda sem proibição.

No jail.conf eu tenho o seguinte localizado em /etc/fail2ban/jail.conf

[w00tw00t-scans]

enabled  = true

action   = iptables-allports

sendmail-whois[name=SSH, dest=ubuntu, [email protected]]

filter   = w00tw00t

logpath  = /var/log/apache2/access.log

maxretry = 1

bantime  = 120  #testing so that I can verify and not be banned for a day!

Aqui está o filtro w00tw00t localizado em /etc/fail2ban/filter.d/w00tw00t.conf

#block w00tw00t scans of all variations

[Definition]

failregex = ^<HOST> .*”GET \/w00tw00t*

ignoreregex =

Eu verifiquei que o caminho do log está configurado corretamente digitando um parâmetro obscuro no meu URL, depois verifiquei access.log e com certeza estava lá. Eu também fiz questão de reiniciar o fail2ban depois que eu adicionei as regras.

Existe alguma outra configuração que eu preciso fazer fora da caixa com o fail2ban? Depois que instalei, a única coisa que fiz foi adicionar o filtro e o wootwoot bit ao jail.conf. Eu verifiquei se ele está sendo executado digitando /etc/init.d/fail2ban start e ele responde com * Socket file /var/run/fail2ban/fail2ban.sock is present

edit - mostrando apenas a aparência da solicitação em /var/log/apache2/access.log

Aqui está uma solicitação maliciosa

67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"

E aqui está um pedido que fiz

My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"
    
por user1104854 12.02.2014 / 22:33

1 resposta

3

Essas citações não parecem certas para mim você usou um editor de texto adequado para escrever sua regex? Experimente

Failregex = ^<HOST> .*"GET /w00tw00t.*"

Que de acordo com o fail2ban-regex encontra o em ambos os seus exemplos.

    
por 12.02.2014 / 22:37