LINUX.ORG.RU
ФорумAdmin

fail2ban и vhost_combined лог

 , ,


0

1

Приветствую!

Есть простая в общем задача - защитить логин форму вордпресса.

Всё работает так, как ожидается на примерах из интернета и форматах лога common и combined веб сервера apache2. Правило выглядит так (упрощено):

[Definition]
failregex = ^<HOST> .* "(GET|POST) /+wp-login.php

Но в логе vhost_combined строка начинается не с адреса клиента, а с имени вхоста, так что «^<HOST>» должен быть заменен на что-то другое. Ниже пример строки лога, где myvhostname.org - вхост, а 11.22.33.44 - собственно HOST (клиент):

myvhostname.org:443 11.22.33.44 - - [24/Jun/2022:11:04:17 +0500] "POST /xmlrpc.php HTTP/1.1" 200 5639 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"

Помогите исправить фильтр/регексп.



Последнее исправление: IdeaFix (всего исправлений: 1)
Ответ на: комментарий от vel

Благодарю, в ночи попробую. Но вообще даже немного удивительно, что такая в общем популярная штука как fail2ban из коробки (ну или где-то очень рядом с коробкой) не умеет в такую популярную штуку как wordpress. Нашел только что-то сложное у них на гитхабе в шаблонах фильтров, но там какой-то комплексный фильтр и то, в нём вордпресс точно упоминается, но не факт что реализовано там именно то что нужно.

https://raw.githubusercontent.com/fail2ban/fail2ban/6893d5a8b78fbdf263df8a233b3b9ac343c7a02c/config/filter.d/botsearch-common.conf

IdeaFix
() автор топика
Ответ на: комментарий от vel

Нет, к сожалению не работает.

Вот эта строка проходит мимо регекспа:

my.ru:443 123.123.123.123 - - [24/Jun/2022:13:30:17 +0500] "POST /xmlrpc.php HTTP/1.1" 403 5841 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36"
IdeaFix
() автор топика
Ответ на: комментарий от vel

Точка - это да. На уровне точки или крышки я регекспы понимаю, а вот дальше нет :(

Помониторю логи, если окажется что под ударом только wp-login, xmlrpc да admin-ajax, соберу их через | в одно правило, а если проблемных моментов будет больше - буду плодить простые регекспы с новой строчки, благо, формат фильтра позволяет.

Спасибо!

IdeaFix
() автор топика
Ответ на: комментарий от IdeaFix

буду плодить простые регекспы с новой строчки

Абсолютно правильное решение. Так и надёжнее и понятнее и не пропустишь какой-либо вариант !

suffix ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.