OVH Community, votre nouvel espace communautaire.

pb de w00tw00t


fatah91
11/06/2014, 07h44
Bonjour,
Bon, après avoir joué avec la config (bantime et findtime), et ce matin çà semble mieux ?
apache-w00tw00t: [ 3:0 ]
Et merci Nowwhat pour les explication.
J'ai du coup je vais pouvoir avancer un peu, examiner les logs et voir s'il y a autre chose à régler.

Nowwhat
10/06/2014, 08h08
Après les la modification de ton fichier de config de fail2ban, t'as bien redémarré fail2ban, n'est pas

Citation Envoyé par fatah91
Bon, et bien c'est pas mieux !
toujours :
Banned services with Fail2Ban: Bans:Unbans
apache-w00tw00t: [ 4:4 ]
Bon, il faut vérifier qui présente cette information, car ce n'est pas fail2ban qui fait ça.

J'ai un OS 'normal' donc le log de fail2ban est ici:
/var/log/fail2ban

........
2014-06-09 23:07:41,060 fail2ban.actions: WARNING [apache-phpmyadmin] Ban 101.226.169.219
2014-06-09 23:07:41,074 fail2ban.actions: WARNING [apache-phpmyadmin] Ban 101.226.169.222
2014-06-09 23:34:41,577 fail2ban.actions: WARNING [sasl] Ban 202.77.111.242
2014-06-10 00:28:22,994 fail2ban.actions: WARNING [sasl] Ban 58.185.184.212
2014-06-10 00:28:24,024 fail2ban.actions: WARNING [sasl] 58.185.184.212 already banned
2014-06-10 00:32:29,212 fail2ban.actions: WARNING [apache-woot] Ban 37.59.232.25
2014-06-10 00:53:02,673 fail2ban.actions: WARNING [ssh-ddos] Unban 37.205.198.162
2014-06-10 00:59:20,933 fail2ban.actions: WARNING [apache-clientdenied] Ban 82.160.134.5
2014-06-10 01:04:40,322 fail2ban.actions: WARNING [sasl] Ban 79.136.209.148
2014-06-10 01:07:37,429 fail2ban.actions: WARNING [apache-clientdenied] Ban 95.131.29.8
2014-06-10 01:15:52,949 fail2ban.actions: WARNING [apache-clientdenied] Ban 46.105.35.91
2014-06-10 02:05:31,570 fail2ban.actions: WARNING [apache-phpmyadmin] Unban 182.118.21.213
2014-06-10 02:05:32,590 fail2ban.actions: WARNING [apache-phpmyadmin] Unban 182.118.21.217
2014-06-10 02:05:33,610 fail2ban.actions: WARNING [apache-phpmyadmin] Unban 182.118.21.215
2014-06-10 02:05:33,628 fail2ban.actions: WARNING [apache-phpmyadmin] Unban 182.118.21.218
2014-06-10 02:16:56,621 fail2ban.actions: WARNING [apache-clientdenied] Unban 95.23.205.6
2014-06-10 02:46:06,798 fail2ban.actions: WARNING [sasl] Ban 118.97.191.155
2014-06-10 03:10:22,514 fail2ban.actions: WARNING [ssh] Unban 216.151.212.100
2014-06-10 03:41:58,124 fail2ban.actions: WARNING [apache-woot] Unban 50.62.44.118
2014-06-10 05:49:09,360 fail2ban.actions: WARNING [courierauth] Ban 85.95.102.7
2014-06-10 06:25:04,132 fail2ban.actions: WARNING [apache-clientdenied] Ban 89.175.172.115
2014-06-10 06:57:41,993 fail2ban.actions: WARNING [apache-clientdenied] Ban 199.15.233.185
2014-06-10 07:31:54,091 fail2ban.actions: WARNING [ssh] Ban 210.42.123.19
2014-06-10 08:30:04,471 fail2ban.actions: WARNING [apache-woot] Ban 50.62.44.118
T'as vu le 50.62.44.118 qu'il unban après quelques jours, pour que 50.62.44.118 devient récidiviste - donc il est ban de nouveau.

Si j'ai bien compris ton
apache-w00tw00t: [ 4:4 ]
chez moi, le résultat sera:
apache-w00tw00t: [ 2:1 ]

Il faut lire ce
apache-w00tw00t: [ 4:4 ]
Comme
4 IPs sont ban - et 4 IPs (peut être pas les mêmes) sont unban ....

Donc tout va bien.

fatah91
10/06/2014, 07h08
Bon, et bien c'est pas mieux !
toujours :
Banned services with Fail2Ban: Bans:Unbans
apache-w00tw00t: [ 4:4 ]

fatah91
09/06/2014, 10h07
erreur je voulais dire findtime.
Bon je viens de passer le findtime à 3600 et le bantime à 86400.
On verra demain si c'est mieux. Si çà suffit pas j'augmenterais encore.

fatah91
09/06/2014, 09h40
Citation Envoyé par Nowwhat
A toi de nous répondre avec la réponse pour qu'on puisse te répondre
T'as mis a combien de minutes le délai avant le "unban" de ce jail qui traites les w00tw00t ?

Chez moi, c'est:

donc l'unban n'arrive pas rapidement

Si t'as pas de 'bantime " dans ton jail, c'est le ban time par défaut qui s'applique, défini dans la section [DEFAULT].
Merci pour cette réponse rapide.
Et bien je n'ai pas touché au bantime, c'est donc la valeur par défault (600s je crois). En fait ce vps me sert pour le moment à me former à l'aspect sécurité.
Sinon je crois savoir qu'il ne faut pas mettre n'importe quoi, et que la valeur est liée à un certain failtime ?

Nowwhat
09/06/2014, 09h05
Citation Envoyé par fatah91
.....
Le matin avec logwatch je reçois :
Banned services with Fail2Ban: Bans:Unbans
apache-w00tw00t: [ 4:4 ]
Je devrais pas avoir plutôt 4:0 ??
A toi de nous répondre avec la réponse pour qu'on puisse te répondre
T'as mis a combien de minutes le délai avant le "unban" de ce jail qui traites les w00tw00t ?

Chez moi, c'est:
[apache-woot]
enabled = true
port = http,https
filter = apache-woot
logpath = /var/log/apache2/*error.log
maxretry = 1
bantime = 259200
donc l'unban n'arrive pas rapidement

Si t'as pas de 'bantime " dans ton jail, c'est le ban time par défaut qui s'applique, défini dans la section [DEFAULT].

fatah91
09/06/2014, 08h30
Bonjour,
J'essaie d’apprendre à configurer un vps.
J'ai configurer dans fail2ban la règle du w00tw00t :

[Definition]
failregex = ^ -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*
ignoreregex =

Le matin avec logwatch je reçois :
Banned services with Fail2Ban: Bans:Unbans
apache-w00tw00t: [ 4:4 ]
Je devrais pas avoir plutôt 4:0 ??

Merci