#fail2ban

02.01.2024, 11:21:04

0

Czy ktoś jest mi w stanie wytłumaczyć o co tu chodzi?

Mam serwer nginx + stoi on za cloudflare. Mam ustawione setrealip_from aby znać prawdziwe ip ludzi. Wczoraj zainstalowałem sobie fail2ban. W konfigu nginxa mam że jak ktoś przekroczy limit połączeń to ma błąd 503 (limiting requests, excees by zone bla bla bla).
Według tego mam ustawione banowane w fail2ban, łapie on te eventy i banuje, wsadza do iptables, problem

kretovsky

02.01.2024, 11:23:06 via Wykop

2

@kretovsky: dobra, chyba wiem, iptables widzi chyba na wejściu ip cf, dlatego jest wpuszczane, musialo by cos byc w stylu cfrealip dla iptables

januzi

18.01.2021, 21:37:31

0

#wordpress #fail2ban Odpaliłem na serwerze fail2bana z regułkami pod wp-login, oto rezultat:
[ciach jeszcze 6 ekranów]
2021-01-18 21:59:05,096 fail2ban.actions [6304]: NOTICE [wordpress] Ban 52.172.153.7
2021-01-18 21:59:05,307 fail2ban.actions [6304]: NOTICE [wordpress] Ban 52.188.153.36
2021-01-18 21:59:05,519 fail2ban.actions [6304]: NOTICE [wordpress] Ban 54.37.198.243
2021-01-18 21:59:05,731 fail2ban.actions [6304]: NOTICE [wordpress] Ban 54.38.134.219
2021-01-18 21:59:05,944 fail2ban.actions [6304]: NOTICE [wordpress] Ban 54.38.65.127
2021-01-18 21:59:06,156 fail2ban.actions [6304]: NOTICE [wordpress] Ban 54.39.16.153
2021-01-18 21:59:06,369 fail2ban.actions [6304]: NOTICE [wordpress] Ban 54.80.228.19

hostinguj

18.01.2021, 22:08:07

0

@januzi: Sprawdź nasz hosting https://hostinguj.pl/ chociażby w bezpłatnym trialu, zapomnisz o atakach bruteforce dzięki Imunify360, zapewnij sobie spokój!

OperatorHydrolokator

17.09.2019, 07:34:46

0

Heja, jeszcze raz temat #linux i #fail2ban konkretnie na #centos . Zmieniłem akcję banowania f2b na DROP i nie czaję jednej rzeczy:

2019-09-16 17:29:04,978 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 19:53:26,746 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 20:07:38,019 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 20:07:38,808 fail2ban.actions [2717]: NOTICE [wp-login] Ban 18.221.206.247
2019-09-16 20:31:46,235 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 21:01:10,000 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 22:30:34,439

g.....h

konto usunięte 17.09.2019, 07:39:32

1

@OperatorHydrolokator: sprawdź czy faktycznie jest banowany. Mimo logu, że fail2ban dodaje - może coś jest nie tak w jakieś dodatkowej konfiguracji?

OperatorHydrolokator

17.09.2019, 20:48:21 via Wykop Mobilny (Android)

0

@daedalus1337: ok, kolego. Jutro się odezwę bo teraz już się wylogowuję zewsząd ;)

OperatorHydrolokator

04.09.2019, 19:03:53

0

Mam pewną zagwozdkę - dotyczy #fail2ban #linux #centos . Skonfigurowałem niby tego fail2bana dla exim'a (dałem czas bana 10 minut, 3 próby powtórzone w czasie 10 minut). I teraz tak:

2019-09-04 20:44:06,406 fail2ban.actions [29954]: NOTICE [exim] Ban 92.118.38.51
2019-09-04 20:44:16,691 fail2ban.filter [29954]: INFO [exim] Found 45.227.253.116
2019-09-04 20:44:17,694 fail2ban.filter [29954]: INFO [exim] Found 45.227.253.116
2019-09-04 20:47:12,953 fail2ban.filter [29954]: INFO [exim] Found 92.118.38.51
2019-09-04 20:49:23,117 fail2ban.filter [29954]: INFO [exim] Found 92.118.38.51
2019-09-04 20:50:14,180

dlycs

04.09.2019, 20:24:04

0

@OperatorHydrolokator: a może to się dzieje na jednym połączeniu do exima, a ty gdzieś wyżej masz coś rodzaju --ctstate ESTABLISHED,RELATED i – jak widać po liczbie pakietów/bajtów – Ci się na ten REJECT w f2b-exim ten host nie łapie.

OperatorHydrolokator

04.09.2019, 20:30:09

0

@dlycs: niestety nie jestem biegły w iptables - serwer jest kogoś, ataków brute force cholerę i chciałem to tylko zabezpieczyć. iptables -L ma miliard różnych wpisów :|

airflame

22.01.2019, 11:36:47

0

Wiecie może jak powstrzymać ten atak przez fail2ban?

postfix/smtpd[28660]: warning: unknown[xxx.xxx.xxx.xxx]: SASL Login authentication failed: UGFzc3dvcmQ6

Mój config:
[pureftpd]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
bantime = -1
maxretry = 2

[pure-ftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = pure-ftpd
logpath = /var/log/syslog
bantime = -1
maxretry = 2

[postfix-sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps
filter = postfix-sasl
logpath = /var/log/mail.log
bantime = -1

szpoq

22.01.2019, 22:23:59 via Android

0

@airflame spoko, jak będziesz potrzebował fachowej porady to pisz! (⌐ ͡■ ͜ʖ ͡■)
Cieszę się że mogłem pomóc

airflame

23.01.2019, 09:36:36

0

@szpoq: Spoko, znalazłem findtime był za mały.

airflame

25.10.2018, 08:06:30

3

Czy ktoś może wie dlaczego fail2ban przy restarcie robi unban zbanowanego wcześniej ip ?

Mam w logu:
2018-10-24 10:14:13,499 fail2ban.actions[851]: WARNING [postfix-sasl] Ban 179.154.249.179

A przy restarcie:
2018-10-25 08:32:01,699 fail2ban.actions[851]: WARNING [postfix-sasl] Unban 179.154.249.179
2018-10-25 08:32:01,705 fail2ban.actions.action[851]: ERROR iptables -D fail2ban-postfix-sasl -s 179.154.249.179 -j REJECT --reject-with icmp-port-unreachable returned 100

#ssh #linux #debian #fail2ban

krzyzakp

25.10.2018, 08:23:56

1

@airflame: Taki, ze skoro zatrzymujesz firewall, to nie powinien blokowac niczego.. Zawsze mozesz sobie zrobic iptables-save >plik i po stopie odpalic plik znowu - bany nadal beda.