Fail2Ban Filter

Blobbi

New Member
Hallo,
ich habe in meinen http Logs immer wieder folgende Einträge gefunden.

Code:
74.208.82.208 - - [13/Feb/2017:00:23:41 +0100] "GET / HTTP/1.0" 200 2756 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3842:\"eval(base64_decode

Nun habe ich bereits Fail2ban schon im Einsatz, jedoch für diese Art, komm ich einfach nicht mit dem Filter weiter.

Fail2Ban soll hier nur nach dem verdächtigen __test|O:21:"JDatabaseDriverMysqli" suchen und dann einfach sperren,
irgend wie klapps nur nicht. Bin auch nicht so bewandert mit regex.

Ich hoffe das mir vielleicht der ein oder andere einen Denkanstoß geben kann.

Grüße und Danke
Frank
 
Tip: Fail2ban-Fiilter beim Useragent; filter nach O: oder JDatabaseDriverMysqli

Den Jail apache-badbot aktivieren.
Dann im Filter apache-badbots.conf in der Zeile von badbotscustom = am Ende noch anfügen:
|JDatabaseDriverMysqli
fail2ban-client restart
 
Last edited by a moderator:
Bei mir funktioniert der Filter.

Wie testest du denn ob der Filter greift?

Schon mal geprüft ob apache-badbots auch alle deine Logs überwacht? Oder benutzt du NGinx oder sowas?
 
Last edited by a moderator:
Hallo,
also getestet habe ich das wie folgt.

root@h1:~# fail2ban-regex /var/www/vhosts/blackshadow.de/logs/access_log.proces sed /etc/fail2ban/filter.d/apache-badbots.conf

in der Processed gibts mehrere Einträge die er eigentlich finden müsste
 
Hallo,
also ..

jail: apache-badbot

Code:
[plesk-apache-badbot]
enabled = true
filter = apache-badbots
action = iptables-multiport[name=BadBots, port="http,https,7080,7081"]
logpath = /var/www/vhosts/system/*/logs/*access*log
/var/log/apache2/*access.log
maxretry = 1

Filter:

Code:
[Definition]
badbotscustom = EmailCollector|WebEMailExtrac|TrackBack/1\.02|sogou music spider|JDatabaseDriverMysqli
badbots = Atomic_Email_Hunter/4\.0|atSpider/1\.0|autoemailspider|bwh3_user_agent|China Local Browse 2\.6|ContactBot/0\.2|ContentSmartz|DataCha0s/2\.0|DBrowse 1\.4b|DBrowse 1\.4d|Demo Bot DOT 16b|Demo Bot Z 16b|DSurf15a 01|DSurf15a 71|DSurf15a 81|DSurf15a VA|EBrowse 1\.4b|Educate Search VxB|EmailSiphon|EmailSpider|EmailWolf 1\.00|ESurf15a 15|ExtractorPro|Franklin Locator 1\.8|FSurf15a 01|Full Web Bot 0416B|Full Web Bot 0516B|Full Web Bot 2816B|Guestbook Auto Submitter|Industry Program 1\.0\.x|ISC Systems iRc Search 2\.1|IUPUI Research Bot v 1\.9a|LARBIN-EXPERIMENTAL \(efp@gmx\.net\)|LetsCrawl\.com/1\.0 +http\://letscrawl\.com/|Lincoln State Web Browser|LMQueueBot/0\.2|LWP\:\:Simple/5\.803|Mac Finder 1\.0\.xx|MFC Foundation Class Library 4\.0|Microsoft URL Control - 6\.00\.8xxx|Missauga Locate 1\.0\.0|Missigua Locator 1\.9|Missouri College Browse|Mizzu Labs 2\.2|Mo College 1\.9|MVAClient|Mozilla/2\.0 \(compatible; NEWT ActiveX; Win32\)|Mozilla/3\.0 \(compatible; Indy Library\)|Mozilla/3\.0 \(compatible; scan4mail \(advanced version\) http\://www\.peterspages\.net/?scan4mail\)|Mozilla/4\.0 \(compatible; Advanced Email Extractor v2\.xx\)|Mozilla/4\.0 \(compatible; Iplexx Spider/1\.0 http\://www\.iplexx\.at\)|Mozilla/4\.0 \(compatible; MSIE 5\.0; Windows NT; DigExt; DTS Agent|Mozilla/4\.0 efp@gmx\.net|Mozilla/5\.0 \(Version\: xxxx Type\:xx\)|NameOfAgent \(CMS Spider\)|NASA Search 1\.0|Nsauditor/1\.x|PBrowse 1\.4b|PEval 1\.4b|Poirot|Port Huron Labs|Production Bot 0116B|Production Bot 2016B|Production Bot DOT 3016B|Program Shareware 1\.0\.2|PSurf15a 11|PSurf15a 51|PSurf15a VA|psycheclone|RSurf15a 41|RSurf15a 51|RSurf15a 81|searchbot admin@google\.com|ShablastBot 1\.0|snap\.com beta crawler v0|Snapbot/1\.0|Snapbot/1\.0 \(Snap Shots, +http\://www\.snap\.com\)|sogou develop spider|Sogou Orion spider/3\.0\(+http\://www\.sogou\.com/docs/help/webmasters\.htm#07\)|sogou spider|Sogou web spider/3\.0\(+http\://www\.sogou\.com/docs/help/webmasters\.htm#07\)|sohu agent|SSurf15a 11 |TSurf15a 11|Under the Rainbow 2\.2|User-Agent\: Mozilla/4\.0 \(compatible; MSIE 6\.0; Windows NT 5\.1\)|VadixBot|WebVulnCrawl\.unknown/1\.0 libwww-perl/5\.803|Wells Search II|WEP Search 00
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*"(?:%(badbots)s|%(badbotscustom)s)"$
ignoreregex =
 
Du hast wirklich fail2ban neu geladen?
Und auch schon mal das das Regex beim Log der Domain getestet?

Wie gesagt, bei mir klappt der Filter auf Plesk Onyx.

Welches Linux Distribution, Plesk und Fail2ban hast du denn?
 
Dann schau mal ob der Filter badbots überhaupt greift, wenn du folgendes machst auf deinem Server:
Code:
curl --user-agent EmailCollector http://blackshadow.de/

Dann greppen ob was geloggt wird:
Code:
grep badbot /var/log/fail2ban.log
 
OK scheint er zu machen,
2017-07-16 14:15:17,516 fail2ban.filter [1642]: INFO [plesk-apache-badbot] Ignore by ip
2017-07-16 14:15:37,742 fail2ban.filter [1642]: INFO [plesk-apache-badbot] Ignore by ip

Ich beobachte mal die Logs ne weile

Eingesetzt Ubuntu 14.4
Plesk 12.5
 
Wenn das Filter EmailCollector fängt, sollte es bei dir auch JDatabaseDriverMysqli fangen, wenn du das |JDatabaseDriverMysqli wie früher dir gezeigt angehängt hast.
 
Back
Top