2 votes

KNIF avatar

fail2ban 404 bruteforcing sharex

Demandé el 18 de Août, 2019
Quand la question a-t-elle été
272 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise mon propre serveur (nginx, je me sers de https://yunohost.org en tant que CP) comme téléchargeur de captures d'écran avec ShareX ( https://getsharex.com/ ). Pendant le processus de téléchargement des captures d'écran, les noms de fichiers sont aléatoires.

Le problème : Récemment, de nombreuses personnes ont codé des bruteforcers pour ces sites de téléchargement d'images. Ils écrivent simplement un petit programme qui envoie une requête http à l'url de façon aléatoire et vérifie si elle renvoie 404, sinon il enregistre l'url. Ces personnes pourraient avoir accès à des captures d'écran semi-privées qu'elles ne sont pas censées voir.

La solution : Ces programmes n'utilisent pas de proxies, vous devriez donc pouvoir bloquer ces requêtes avec fail2ban. Je n'ai pas d'expérience en la matière, je ne peux donc pas le faire moi-même et je vous le demande.

J'ai besoin d'une regex et d'un jail fail2ban qui bloque les IP de trop nombreuses requêtes qui aboutissent à l'erreur 404 (par exemple si quelqu'un envoie 5 requêtes par seconde (404 !), il est banni).

J'espère que quelqu'un pourra m'aider.

Meilleures salutations KNIF

Demandé el 18 de Août, 2019 par KNIF

Réponse

Trop de publicités?

1voto

harrymc avatar
harrymc Points 394411

Pour plus de détails, voir l'article Comment configurer Fail2ban pour détecter les attaques Apache 404 ?

Pour résumer :

1. Créer un filtre fail2ban

Créer le fichier /etc/fail2ban/filter.d/apache-404.conf contenant :

failregex = ^<HOST> - .* "(GET|POST|HEAD).*HTTP.*" 404 .*$
ignoreregex =.*(robots.txt|favicon.ico|jpg|png)
  • failregex identifie les adresses IP qui font trop de demandes 404
  • ignoreregex exclut les fichiers valides tels que robots.txt , favicon.io et des images.

2. Créer une prison personnalisée

Ajoutez le code suivant dans le fichier /etc/fail2ban/jail.conf :

[apache-404]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/httpd/error_log
logpath = /var/log/httpd/access_log
bantime = 3600
findtime = 600
maxretry = 5
  • chemin d'accès spécifie le fichier journal d'apache
  • bantime espèces combien de secondes une IP fautive est bannie
  • maxrétry spécifie le nombre total de tentatives de connexion.

Donc, si un client gagne plus de maxretry tentatives de relance dans le délai spécifié dans findtime ils seront interdits.

Voir aussi le post Atténuation de la bombe 404 avec Nginx .

Répondu el 18 de Août, 2019 par harrymc (394411 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X