J'utilise fail2ban pour mes accès au serveur apache
Suite à ce genre de messages trouvés dans le access.log
208.81.177.73 - - [03/Jan/2011:12:04:57 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 346 "-" "ZmEu"
208.81.177.73 - - [03/Jan/2011:12:04:57 +0100] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 333 "-" "ZmEu"
208.81.177.73 - - [03/Jan/2011:12:04:57 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 333 "-" "ZmEu"
208.81.177.73 - - [03/Jan/2011:12:04:57 +0100] "GET /pma/scripts/setup.php HTTP/1.1" 301 326 "-" "ZmEu"
208.81.177.73 - - [03/Jan/2011:12:04:58 +0100] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 330 "-" "ZmEu"
208.81.177.73 - - [03/Jan/2011:12:04:58 +0100] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 330 "-" "ZmEu"
j'ai créé un filtre fail2ban:
- Code: Tout sélectionner
failregex = ^<HOST> -.*ZmEu.*
puis la configuration dans le jail.conf
- Code: Tout sélectionner
enabled = true
port = http,https
filter = apache-ZmEu
logpath = /var/log/apache*/*access.log
maxretry = 1
bantime = 3600
Tout fonctionne presque parfaitement:
1) La Regex est OK, elle trouve tous les message en question
2) L'adresse de le source est bien bannie, elle apparaît bien dans iptables
Par contre, la source n'est pas bannie au bout du premier essai mais au bout d'un nombre variable entre 6 et 2...
