May 11

Schutz vor Morfeus Attacken mit Fail2Ban

Howto, Security, Tooltips Add comments

Kürzlich entdeckte ich über 100 404 Anfragen innerhalb von 2 Minuten in meinem Webserver Logfile. Diese stammen vermutlich von einem Morfeus Scanner. Dieser sucht nach sämtlichen gängigen URLs von zum Beispiel phpmyadmin,horde und anderen Webanwendungen. Damit in Zukunft diese Attacken verhindert werden, installierte ich Fail2Ban und konfigurierte einen “Apache 404 Block”, der ab einer bestimmten Anzahl von 404 Anfragen eines bestimmten Hosts eine Iptables Blockregel einfügt. Dies ist mit Vorsicht zu geniessen, da eventuell auch friedvolle User ausgesperrt werden können.

1. in der jail.conf legen wir den Eintrag und die Grundeinstellungen für den Check an

/etc/fail2ban/jail.conf
[apache-404block]
enabled = true
port = http
filter = apache-404block
logpath = /var/log/apache2/access.log
bantime = 1800
maxretry = 5

2. Nun wird definiert welche Regel Fail2Ban beachten soll.

/etc/fail2ban/filter.d/apache-404block.conf
[Definition]
failregex = - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$
ignoreregex =

3. Nach einem Fail2Ban neustart, werden ab sofort die 404 “Erzeuger” geblockt.

Post to Twitter Tweet This Post

Related Posts

One Response to “Schutz vor Morfeus Attacken mit Fail2Ban”

  1. Herr Irrtum! Says:
    January 17th, 2010 at 1:55 pm

    Danke! Grossartig. Suchmaschine angeworfen und genau das gefunden, was ich wollte (“fail2ban regex 404″). Ich haette sonst wieder 15min gebraucht, um ein vernuenftiges Regex-Konstrukt zu bauen!
    Sehr schoen, dass Du gleich nach 404 suchst, und nicht nur nach morpheus – das erwischt praktisch alles. Max Reply setze ich etwas hoeher, manchmal tippt man wirklich 5x das falsche ein (ich denke da an so Leute wie Rentner oder mich :) ).
    Gruss,
    Herr Irttum

Leave a Reply

Twitter links powered by Tweet This v1.6.1, a WordPress plugin for Twitter.