Skany serwera

tabi19 - 12-02-2010 14:25
Skany serwera
Witam ! Przeglądając wczoraj logi apache natrafiłem na wpis w stylu "w00tw00t". Googlując i pytając znajomego dowiedziałem się, że był to skan serwera. Takich skanów było już dość trochę, tylko że wykonywane były z 3 IP ( tylko 3 IP się powtarzały w logach ). Zainstalowałem fail2ban (według tego poradnika http://www.omnicom.pl/?p=45 ), sprawdziłem dzisiaj logi i co widzę ? Znowu było jakieś 10 skanów z pierwszego adresu IP oraz po 3-4 skany z dwóch innych .. Na e-mail nie dostałem żadnej wiadomości od fail2ban (a działa wysyłanie e-mail'i, ponieważ info o włączaniu/wyłączaniu fail2ban dostawałem).

Co radzicie zrobić, w jaki sposób się zabezpieczyć ?

Proszę o pomoc.
Pozdrawiam.

P.S. Jak "zjechać" na sam dół pliku w nano ?
P.S.2. System jaki używam, to Debian 5.0 lenny.

mlodszy - 12-02-2010 20:00
Fail2ban+apache-w00tw00t.conf

Tutaj kod:
Kod: #<HOST> - - [29/Apr/2008:22:54:08 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 326

[Definition]

# Option: failregex
# Notes.: regex to match the w00tw00t scan messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEXT
failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT

ignoreregex = A do tego w jail.conf coś takiego:
Kod: [apache-w00tw00t]
enabled = true
port = http
filter = apache-w00tw00t
logpath = /****/apache2/access_log
maxretry = 1

tabi19 - 12-02-2010 21:10
Dziękuję za pomoc, wszystko podmieniłem, zrestartowałem, czekam na efekty ;)

Pozdrawiam !

tabi19 - 13-02-2010 14:20
Ehh... dalej nie działa :/

http://wklej.to/i0kS

Teraz skanowały te 2 IP ..

iptables -L pokazuje:

Cytat:
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-ssh tcp -- anywhere anywhere multiport dports gds_db
fail2ban-apache tcp -- anywhere anywhere multiport dports www,https
fail2ban-apache-multiport tcp -- anywhere anywhere multiport dports www,https
fail2ban-w00tw00t all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain fail2ban-apache (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-apache-multiport (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain fail2ban-w00tw00t (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere jail.conf : http://wklej.to/9HO8

Co robić ?

andriu-m - 13-02-2010 15:03
pokaz /var/log/fail2ban.log ;>

tabi19 - 13-02-2010 16:06
/var/log/fail2ban.log

http://wklej.to/eyRQ

andriu-m - 13-02-2010 16:58
po stronie fail2bana wyglada ok, wiec problem musi byc w filtrze w000ta ;>

tabi19 - 13-02-2010 17:16
/etc/fail2ban/filter.d/apache-w00tw00t.conf

http://wklej.to/Cw5T

andriu-m - 13-02-2010 17:56
filtr tez wygląda ok

w logu fail2bana nie widać aby dołączał logu pliku /var/log/apache2/access_log
napewno sciezka do pliku logu access jest poprawna?
czy czasem ten plik nie nazywa sie access_log tylko access.log ?

twoj jail.conf
Kod: [apache-w00tw00t]
enabled = true
port = http
filter = apache-w00tw00t
action = iptables-allports[name=w00tw00t]
mail-whois[name=w00tw00t, dest=grzesiut@gmail.com]
logpath = /var/log/apache2/access_log
maxretry = 1

tabi19 - 13-02-2010 18:05
Cytat:
czy czasem ten plik nie nazywa sie access_log tylko access.log ? Rzeczywiście, nie zauważyłem tego ;) Poprawione, serwer zrestartowany, zobaczymy co będzie dalej :)

Dzięki za pomoc, jutro napiszę czy zadziałało (chyba że już dzisiaj będą jakieś "wieści").

Pozdrawiam !

Edit://

No długo nie trzeba było czekać na reakcję :)

"Hi,

The IP 217.195.204.194 has just been banned by Fail2Ban after
1 attempts against w00tw00t."

Ogromne dzięki za pomoc ! :)