Рубрика «fail2ban» - 2

в 13:35, , рубрики: ddos, Debian, fail2ban, linux, nginx, Настройка Linux

Интеграция Fail2ban с CSF для противодействия DDoS на nginx - 1Набор скриптов ConfigServer Security & Firewall (CSF) изначально обладает достаточно богатыми возможностями по организации защиты сервера хостинга Web с помощью фильтра пакетов iptables. В частности с его помощью можно противостоять затоплению атакуемого хоста пакетами TCP SYN, UDP и ICMP слабой и средней силы. Дополняет CSF встроенный Login Failure Daemon (lfd), который осуществляет мониторинг журналов на предмет наличия многочисленных неудачных попыток авторизации в различных сетевых сервисах с целью подбора пароля. Такие попытки блокируются путем внесения адреса IP злоумышленника в черный список CSF.
Читать полностью »

в 15:39, , рубрики: ban-time-incr, fail2ban, linux, информационная безопасность, системное администрирование

fail2ban image
Про fail2ban написано уже много, в том числе и на хабре. Эта статья немного о другом — как сделать защиту им еще надежнее и о еще пока неизвестных в широких кругах новых функциях fail2ban. Добавлю сразу — речь пойдет пока про development branch, хотя уже долго проверенный в бою.

Краткое вступление

В большинстве своем fail2ban устанавливается из дистрибутива (как правило это какая-нибудь стабильная старая версия) и настраивается по манам из интернета за несколько минут. Затем годами работает, без вмешательства админа. Нередко даже логи, за которыми вроде как следит fail2ban, не просматриваются.
Так вот, сподвигнуть на написание этого поста меня заставил случай, произошедший с одним сервером моего хорошего знакомого. Классика жанра — пришла абуза, за ней вторая и пошло поехало. Хорошо еще злоумышленник попался ленивый — логи не потер, да и повезло еще крупно, что logrotate был настроен, чтобы хранить логи месяцами.
Оказалось все довольно банально, подобрали пароль к его админской почте, который по совместительству был паролем для ssh (естественно без ключа). Не рут, но судоер, со всеми вытекающими. Первый его вопрос был: как подобрали — у меня же fail2ban там. И вот здесь как раз засада: не все представляют себе, что подбором паролей сегодня занимаются уже не отдельные компьютеры, а целые бот-сети, кстати поумневшие донельзя. Так вот по логам выяснили, что тут как раз такой случай: перебирала бот-сеть, причем на практике выяснившая его настройки в fail2ban (maxRetry=5, findTime=600 и banTime=600). Т.е. чтобы избежать бана, сеть делала 4 попытки в течении 10 минут с каждого IP. На минуточку в сети порядка 10 тысяч уникальных IP = что-то более 5 с половиной миллионов паролей в сутки.
Кроме того его почтовик делал большую глупость — а именно паузу до 10 секунд, при логине с неправильным именем. Т.е. выяснить, что некоторые имена, в том числе admin, реально имеются, этой сетке не составило труда. Далее шел целенаправленный перебор только паролей для имеющихся имен.
Подробнее на «ремонте» останавливаться не буду — это история долгая, и вообще тема для отдельной статьи. Скажу только, что все почистили и все разрешилось малой кровью, да и отделался он практически «легким» испугом.

Так вот, мысль написать статью возникла после того, как мне (частично заслужено) было высказано: «Так ты про такое знал и ничего не сказал, не предупредил. Да еще и решение есть и не поделился. Ну и сволочь ты». Короче, посему посту — быть.

Читать полностью »

в 10:06, , рубрики: fail2ban, nginx, системное администрирование

Доброго времени суток!

Несколько дней назад на одном из своих сайтов заметил подозрительную активность, вызванную перебором паролей. Произошло это как раз тогда, когда в сеть попали файлы с несколькими миллионами почтовых ящиков и паролей к ним. После бана в iptables нескольких адресов злоумышленники начали подбирать пароли с бОльшего количества адресов и вручную банить их уже стало неудобно. Как была решена эта проблема расскажу под катом.

Читать полностью »

в 8:19, , рубрики: fail2ban, Plesk, security, wordpress, Блог компании Parallels, Веб-разработка, хостинг, хостинг-панель

Мы в этом году несколько раз высказывали свое мнение о том, что рынок традиционного хостинга уже вряд ли сможет жить, как раньше (например, здесь и на Хабре). Было бы странно, если бы мы проигнорировали эти тенденции при разработке собственных продуктов. Поэтому новую версию решения Parallels Plesk 12.0 (ПО для управления работой всего, что касается веба – доменами, сайтами, почтовыми ящиками, DNS и т.д.) делали с учетом новой реальности, где время исключительно ценовых войн среди хостеров уже прошло. Сегодня на рынке начинают и выигрывают решения добавленной стоимости, направленные на отдельные сегменты аудитории, а не стандартные пакеты VPS или shared hosting, как раньше. Так, по данным Netctaft, те, кто создает предложения в области веб-хостинга под разные целевые аудитории, увеличили свою долю на рынке с 5 до 51% за последние 3 года.
Исходя из этой тенденции, мы разделили продукт на 4 разные «редакции» – для веб-админов, веб-разработчиков, веб-студий и хостеров, у каждой из которых теперь свой набор инструментов и фич. Каких именно – под катом. Мы бы хотели узнать, каких инструментов для ваших сценариев лично вам не хватает.
Читать полностью »

в 12:53, , рубрики: ejabberd, fail2ban, linux, метки: ,

Пролог. Я долго не решался написать эту статью. Потому как даже не являясь программистом понимаю, что приведенный код может быть проще и изящнее. Но надеюсь что статья поможет тем, кто столкнулся с такой же дилеммой, а может быть и побудит кого — то на написание более достойного скрипта. Итак, в одном городе, в некоторой компании появился джаббер сервер…
Читать полностью »

в 13:26, , рубрики: Debian, fail2ban, linux, nginx, ufw, системное администрирование, метки: , , , ,

Столкнулся с тем, что информации о совместном использовании указанных программ нет, а из коробки, например, logwatch не знает про nginx, как не знает и fail2ban, который к тому же для создания правил использует iptables, а не ufw. Настройка же по частям, используя приведенный ниже список гайдов, требует косметических изменений. Поэтому, хочу привести этот пошаговый рецепт уже содержащий правки и необходимый минимум настроек, для тех, кому это предстоит сделать первый раз.

Действия происходят в дистрибутиве Debian GNU/Linux 6.0 Squeeze под суперпользователем. В качестве почтового сервера используется postfix. Требуется настроить мониторинг логов nginx через logwatch, работу fail2ban через ufw и отправку сообщений на почту.
Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js