Wpis z mikrobloga

Skopiuj link

17.09.2019, 07:34:46

Heja, jeszcze raz temat #linux i #fail2ban konkretnie na #centos . Zmieniłem akcję banowania f2b na DROP i nie czaję jednej rzeczy:

2019-09-16 17:29:04,978 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 19:53:26,746 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 20:07:38,019 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 20:07:38,808 fail2ban.actions [2717]: NOTICE [wp-login] Ban 18.221.206.247
2019-09-16 20:31:46,235 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 21:01:10,000 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 22:30:34,439 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 22:41:55,546 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-16 22:41:55,824 fail2ban.actions [2717]: NOTICE [wp-login] 18.221.206.247 already banned
2019-09-16 23:08:06,065 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 00:50:19,376 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 02:27:38,896 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 02:33:50,423 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 02:33:50,815 fail2ban.actions [2717]: NOTICE [wp-login] 18.221.206.247 already banned
2019-09-17 03:18:58,161 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 03:53:14,113 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 05:13:33,476 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 05:16:32,734 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 05:16:32,956 fail2ban.actions [2717]: NOTICE [wp-login] 18.221.206.247 already banned
2019-09-17 05:39:01,875 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 05:48:19,811 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 05:48:20,092 fail2ban.actions [2717]: NOTICE [wp-login] 18.221.206.247 already banned
2019-09-17 05:57:31,775 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 07:43:20,492 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 07:52:23,406 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 07:52:23,513 fail2ban.actions [2717]: NOTICE [wp-login] 18.221.206.247 already banned
2019-09-17 08:07:25,809 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 08:25:37,391 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 08:31:41,976 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 08:47:47,454 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247
2019-09-17 09:20:56,394 fail2ban.filter [2717]: INFO [wp-login] Found 18.221.206.247

Skoro on dostał bana (teoretycznie na tydzień mam ustawionego bana w jail.local), to jakim wujem on ponownie się tu pojawia? I to nie tylko jeden przypadek, ale mam ich w opór. Jak skutecznie przyciąć takie rzeczy?
#kiciochpyta

g.....h

konto usunięte 17.09.2019, 07:39:32

@OperatorHydrolokator: sprawdź czy faktycznie jest banowany. Mimo logu, że fail2ban dodaje - może coś jest nie tak w jakieś dodatkowej konfiguracji?

a231

sq4ind

17.09.2019, 08:12:47

@OperatorHydrolokator: iptables -v -n -L | grep 18.221.206.247

Co pokazuje ?

OperatorHydrolokator

17.09.2019, 08:32:27

@sq4ind: @grzemach:

[root@demo ~]# iptables -v -n -L | grep 18.221.206.247
 0 0 DROP all -- * * 18.221.206.247 0.0.0.0/0

OperatorHydrolokator

17.09.2019, 08:47:26

@sq4ind: @grzemach:

[root@demo ~]# iptables -n -L INPUT
Chain INPUT (policy DROP)
target prot opt source destination
f2b-xmlrpc tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
f2b-xmlrpc tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
f2b-cron tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
f2b-exim tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 25
f2b-pure-ftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21
f2b-default tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
....

sq4ind

17.09.2019, 08:49:46

@OperatorHydrolokator: hmmm. a to nie jest poprawne (w pierwszym listingu) przeciez i tak dociera do Twojego serwera ale wali drop na polaczenie. wiec fail2ban to widzi i loguje.

OperatorHydrolokator

17.09.2019, 09:16:58

@sq4ind: w sensie, że on loguje ten ruch, ale od razu i tak go uwala, tak?

sq4ind

17.09.2019, 09:19:01

@OperatorHydrolokator: No, bo i tak przeciez ruch musi dojsc do firewalla zeby go uwalic. Wiec loguje, na tej podstawie blokuje, a jak znowu przychodzi to znowy wychwytuje z logu, ale i tak juz jest zblokowany.

OperatorHydrolokator

17.09.2019, 09:30:13

@sq4ind: A no to wtedy to by miało sens, ok ok. To co się odwala na tym serwerze to jakaś masakra. Większość z tego to ataki na wordpress i exim :o

sq4ind

17.09.2019, 09:54:42

@OperatorHydrolokator: Standard... Wordpress zawsze byl atakowany, a EXIM to w miare nowa podatnosc, wiec staraja sie zlamac :D

Powodzenia Mirku :)

OperatorHydrolokator

17.09.2019, 10:01:32

@sq4ind: Dzięki kolego! :-)

daedalus1337

17.09.2019, 19:56:23

@OperatorHydrolokator: Jeżeli masz zbanowany dany adres IP atakującego przez fail2ban, to kolejne ataki z tego adresu IP nie mają prawa pojawić się w logach fail2ban w przedziale czasowym działania bana na danym adresie IP. Pamiętaj, że fail2ban, banuje tylko wtedy, gdy atakujący z danego adresu IP zestawi sesję TCP z serwerem. A jeżeli atakujący zestawił sesję TCP z serwerem (np. www), to znaczy, że firewall nie zablokował połączenia na

OperatorHydrolokator

17.09.2019, 20:13:58

@daedalus1337: to tam nieco wyżej wkleiłem początek iptables, to jest na samym początku INPUT

daedalus1337

17.09.2019, 20:21:03

@OperatorHydrolokator: Okey, ale próbuję zwrócić Ci tutaj uwagę na fakt, że gdy fail2ban zbanuje/zablokuje dany adres IP atakującego, to kolejne próby nawiązania połączenia/ataków z adresu IP atakującego do Twojego serwera mają być blokowane przez firewall. Jeżeli tak jest, to fail2ban nie widzi już połączeń z tego adresu IP w logach np. serwera www, bo atakujący został zablokowany już na poziomie samego firewalla.

Zwróciłem Ci uwagę na zerowe wartości liczników, po wydaniu

daedalus1337

17.09.2019, 20:44:05

@OperatorHydrolokator: Sprawdź sobie, czy aby na pewno pakiety pochodzące z adresu IP atakującego są blokowane (czytaj: trafiają na odpowiednią regułę firewalla iptables). To, że fail2ban informuje w logach, że "zablokował", czy też "już zbanował" dany adres IP nie świadczy o tym, że rzeczywiście tak się dzieje. Jedynym sposobem, aby się o tym przekonać jest przeanalizowanie wartości liczników, które opisałem Ci w moich poprzednich postach.

I na koniec jeszcze, pamiętaj, że samo

OperatorHydrolokator

17.09.2019, 20:48:21 via Wykop Mobilny (Android)

@daedalus1337: ok, kolego. Jutro się odezwę bo teraz już się wylogowuję zewsząd ;)