fail2ban и vhost_combined лог

0

1

Приветствую!

Есть простая в общем задача - защитить логин форму вордпресса.

Всё работает так, как ожидается на примерах из интернета и форматах лога common и combined веб сервера apache2. Правило выглядит так (упрощено):

[Definition]
failregex = ^<HOST> .* "(GET|POST) /+wp-login.php

Но в логе vhost_combined строка начинается не с адреса клиента, а с имени вхоста, так что «^<HOST>» должен быть заменен на что-то другое. Ниже пример строки лога, где myvhostname.org - вхост, а 11.22.33.44 - собственно HOST (клиент):

myvhostname.org:443 11.22.33.44 - - [24/Jun/2022:11:04:17 +0500] "POST /xmlrpc.php HTTP/1.1" 200 5639 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"

Помогите исправить фильтр/регексп.

Ссылка

←	Debian bullseye - убрать уведомление о перезапуске служб

Отключилась база Postgresql и больше не стартует.

→

теоретически

^\S+ <HOST> .+ "(GET|POST) .+/wp-login.php\s

vel ★★★★★
(24.06.22 10:26:06 MSK)
Последнее исправление: vel 24.06.22 10:26:42 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 24.06.22 10:26:06 MSK

Благодарю, в ночи попробую. Но вообще даже немного удивительно, что такая в общем популярная штука как fail2ban из коробки (ну или где-то очень рядом с коробкой) не умеет в такую популярную штуку как wordpress. Нашел только что-то сложное у них на гитхабе в шаблонах фильтров, но там какой-то комплексный фильтр и то, в нём вордпресс точно упоминается, но не факт что реализовано там именно то что нужно.

https://raw.githubusercontent.com/fail2ban/fail2ban/6893d5a8b78fbdf263df8a233b3b9ac343c7a02c/config/filter.d/botsearch-common.conf

IdeaFix
(24.06.22 10:59:49 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 24.06.22 10:26:06 MSK

Нет, к сожалению не работает.

Вот эта строка проходит мимо регекспа:

my.ru:443 123.123.123.123 - - [24/Jun/2022:13:30:17 +0500] "POST /xmlrpc.php HTTP/1.1" 403 5841 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36"

IdeaFix
(24.06.22 11:35:49 MSK) автор топика

Ответ на: комментарий от IdeaFix 24.06.22 11:35:49 MSK

потому что, очевидно, wp-login.php и твой /xmlrpc.php - это разные пути

George ★
(24.06.22 13:12:01 MSK)

Ответ на: комментарий от George 24.06.22 13:12:01 MSK

На wp-login.php тоже не срабатывало. Проблема решилась удалением \s в конце

IdeaFix
(24.06.22 13:26:33 MSK) автор топика

Ответ на: комментарий от IdeaFix 24.06.22 13:26:33 MSK

тогда уж

^\S+ <HOST> .+ "(GET|POST)\s.*/wp-login\.php

vel ★★★★★
(24.06.22 14:59:36 MSK)

Ответ на: комментарий от vel 24.06.22 14:59:36 MSK

Точка - это да. На уровне точки или крышки я регекспы понимаю, а вот дальше нет :(

Помониторю логи, если окажется что под ударом только wp-login, xmlrpc да admin-ajax, соберу их через | в одно правило, а если проблемных моментов будет больше - буду плодить простые регекспы с новой строчки, благо, формат фильтра позволяет.

Спасибо!

IdeaFix
(24.06.22 15:06:59 MSK) автор топика