fail2ban eigener Filter: Platzhalter

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
ascTim
Beiträge: 12
Registriert: 07.02.2017 13:48:56

fail2ban eigener Filter: Platzhalter

Beitrag von ascTim » 12.09.2018 16:50:11

Hallo zusammen,

ich möchte eine neue fail2ban Regel einrichten, die unerwünschte Loginversuche zum phpmyadmin abwehrt.
Die Einträge in der Log-Datei sehen folgendermaßen aus:

Code: Alles auswählen

201.150.x.x - - [12/Sep/2018:10:53:43 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=calvin&server=1 HTTP/1.1" 200 13169 "-" "Mozilla/5.0"
201.150.x.x - - [12/Sep/2018:10:53:43 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=wgj&server=1 HTTP/1.1" 200 13169 "-" "Mozilla/5.0"
Dass ich ganz vorne die Variable HOST verwenden kann ist mir klar. Allerdings ändert sich logischerweise immer der Timestamp. Der Bereich ab "GET /phpmyadmin ..." bleibt nahezu identisch.
Gibt es eine Möglichkeit, diese Zugriffe mit fail2ban zu erkennen und die IPs zu blockieren?


Beste Grüße

ascTim

Benutzeravatar
weshalb
Beiträge: 844
Registriert: 16.05.2012 14:19:49

Re: fail2ban eigener Filter: Plazhalter

Beitrag von weshalb » 13.09.2018 11:17:49

Zum Regexschreiben gibt es viele Anleitungen im Netz.

Getestet wird mit:

Code: Alles auswählen

fail2ban-regex /pfad/zum/xyz.log /etc/fail2ban/filter.d/name der Regex.conf
Da phpmyadmin nicht ganz ohne ist, empfehle ich dir, den Zugang zusätzlich über htpasswd abzusichern. Ein Nebeneffekt ist der, dass dort bei Fehleingabe fail2ban über das Modul "apache-auth" anspringt.

Antworten