fail2ban regex

Le
BERTRAND Jo=c3=abl
Bonjour à tous,

Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs sont plein de ce genre de chose :

Apr 29 10:06:33 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 10:06:33 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]

Et ça défile à une vitesse délirante. Je tente donc de rajouter une
règle fail2ban mais elle ne fait rien.

J'ai rajouté courier-tls.conf:

[INCLUDES]
before = common.conf

[Definition]
_daemon = (imapd-ssl|pop3d-ssl)?
failregex = ^.*ip=[<HOST>], An unexpected TLS packet was received.$
ignoreregex =
datepattern = {^LN-BEG}

J'ai naturellement modifié le fichier de configuration de fail2ban et
cette règle est chargée :

2020-04-29 10:05:04,148 fail2ban.server [1114037]: INFO
Reload jail 'courier-tls'
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
encoding: UTF-8
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
maxRetry: 5
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
findtime: 600
2020-04-29 10:05:04,148 fail2ban.actions [1114037]: INFO
banTime: 600

Mais elle ne fait rien. Si je la teste avec fail2ban-regex, elle semble
toutefois fonctionner. Où donc ai-je fait une boulette ?

Bien cordialement,

JKB
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
NoSpam
Le #26544934
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,

Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?
Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs sont plein de ce genre de chose :
Apr 29 10:06:33 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 10:06:33 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
Et ça défile à une vitesse délirante. Je tente donc de rajouter une
règle fail2ban mais elle ne fait rien.
J'ai rajouté courier-tls.conf:
[INCLUDES]
before = common.conf
[Definition]
_daemon = (imapd-ssl|pop3d-ssl)?
failregex = ^.*ip=[<HOST>], An unexpected TLS packet was received.$
ignoreregex > datepattern = {^LN-BEG}
J'ai naturellement modifié le fichier de configuration de fail2ban et
cette règle est chargée :
2020-04-29 10:05:04,148 fail2ban.server [1114037]: INFO
Reload jail 'courier-tls'
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
encoding: UTF-8
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
maxRetry: 5
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
findtime: 600
2020-04-29 10:05:04,148 fail2ban.actions [1114037]: INFO
banTime: 600
Mais elle ne fait rien. Si je la teste avec fail2ban-regex, elle semble
toutefois fonctionner. Où donc ai-je fait une boulette ?
Bien cordialement,
JKB
NoSpam
Le #26544939
Le 29/04/2020 à 11:07, BERTRAND Joël a écrit :
NoSpam a écrit :
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
    Bonjour à tous,

Bonjour
la version de fail2ban prend t'elle en charge ipv6 (version minimum 0.10) ?

Oui : 0.10.2-2.1.
Mais mon installation fail2ban traitait IPv6 depuis très longtemps
grâce à un petit patch bien senti ;-)
Par ailleurs, l'adresse IP en question est une IPv4.

Non, c'est une IPv6 (ipv4-mapped ipv6)
Nisar JAGABAR
Le #26545044
Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
son man :
bash# fail2ban-client set <JAIL> banip <IP>
Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
bash# fail2ban-client status
Pour les IP déjà bannis sur un JAIL particulier :
bash# fail2ban-client status <JAIL>
Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
Bonjour à tous,
Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
de mails en provenance de Russie. Les logs sont plein de ce genre de chose :
Apr 29 10:06:33 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
unexpected TLS packet was received.
Apr 29 10:06:33 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
Et ça défile à une vitesse délirante. Je tente donc de rajouter une
règle fail2ban mais elle ne fait rien.
J'ai rajouté courier-tls.conf:
[INCLUDES]
before = common.conf
[Definition]
_daemon = (imapd-ssl|pop3d-ssl)?
failregex = ^.*ip=[<HOST>], An unexpected TLS packet was received.$
ignoreregex > datepattern = {^LN-BEG}
J'ai naturellement modifié le fichier de configuration de fail2ban et
cette règle est chargée :
2020-04-29 10:05:04,148 fail2ban.server [1114037]: INFO
Reload jail 'courier-tls'
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
encoding: UTF-8
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
maxRetry: 5
2020-04-29 10:05:04,148 fail2ban.filter [1114037]: INFO
findtime: 600
2020-04-29 10:05:04,148 fail2ban.actions [1114037]: INFO
banTime: 600
Mais elle ne fait rien. Si je la teste avec fail2ban-regex, elle semble
toutefois fonctionner. Où donc ai-je fait une boulette ?
Bien cordialement,
JKB


--
Nisar JAGABAR
,= ,-_-. =.
((_/)o o(_))
`-'(. .)`-'
_/
Pierre Malard
Le #26545082
--Apple-Mail=_FA981119-AE42-437F-8974-1BD626D8D57B
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
charset=utf-8
Bonjour,
Je ne sais pas si cela correspond à ce que vous cherchez mais ici pour
les serveurs sensibles nous nous appuyons en complément de Fail2ban qui
ne banni que les IP de façon temporaires 2 ajouts :
Un outil de bannissement « définitif » pour ceux qui insistent lourdement
« multiban » répétés, basé sur l’ana lyse des logs de Fail2ban. Vous
pouvez le trouver sur l’URL suivante :
https://www.cybernaute.ch/bannir-definitivement-ip-bannies-frequemment-fai l2ban/
Mais cela ne suffisant pas car les réseaux servant à beaucoup d’attaques
permettent le changement d’IP, nous ajoutons des règles « ipset » nourries
par des RBL qui bloquent même certains réseaux connus pour leurs pratiques douteuses.
La solution simple est basée sur 3 ou 4 sites (https://blognote32.net/iptables-ip-blacklist/)
Vous pouvez aussi aller voir sur https://iplists.firehol.org/#aboutCollapseThree…
Cordialement
Le 30 avr. 2020 à 12:01, BERTRAND Joël Nisar JAGABAR a écrit :
Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te
permets de le faire, regarde la sortie de 'fail2ban-client --help' ou
son man :
bash# fail2ban-client set <JAIL> banip <IP>
Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
bash# fail2ban-client status
Pour les IP déjà bannis sur un JAIL particulier :
bash# fail2ban-client status <JAIL>

Parce que le type est borné, que ça fait des jours que ça dure et que
l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
j'ai autre chose à faire que de surveiller /var/log/syslog.
JKB


--
Pierre Malard
« on ne risque rien à livrer le secret professionnel car
on ne livre pas la façon de s’en servir »
Jean Cocteau - « Le secret professionnel » - 1922
| _,,,---,,_
/,`.-'`' -. ;-;;,_
|,4- ) )-,_. , ( `'-'
'---''(_/--' `-'_) πr
perl -e '$_=q#: 3| 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-. ;-;;,_: |,A- ) )-,_. , ( `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"' `-'"'"'_): 24πr::#;y#:#n#;s#(D)(d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--
--Apple-Mail=_FA981119-AE42-437F-8974-1BD626D8D57B
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment;
filename=signature.asc
Content-Type: application/pgp-signature;
name=signature.asc
Content-Description: Message signed with OpenPGP
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.2
Comment: GPGTools - http://gpgtools.org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 =8XxV
-----END PGP SIGNATURE-----
--Apple-Mail=_FA981119-AE42-437F-8974-1BD626D8D57B--
Charles Plessy
Le #26545117
Le Thu, Apr 30, 2020 at 12:01:36PM +0200, BERTRAND Joël a écrit :
Parce que le type est borné, que ça fait des jours que ça dure et que
l'IP change régulièrement. Par ailleurs, fail2ban est fait pour cela et
j'ai autre chose à faire que de surveiller /var/log/syslog.

Bonjour Joël,
as-tu essayé la cellule "récidive" de fail2ban ?
Amicalement,
--
Charles Plessy
Akano, Uruma, Okinawa, Japan
Publicité
Poster une réponse
Anonyme