Onderwerp: fail2ban en error.php (failure logins)

Heeft iemand een idee hoe ik een regex kan maken op het volgende in error.php?: 2014-06-16 09:37:15 INFO 176.41.67.251 Joomla FAILURE: De combinatie van gebruikersnaam en wachtwoord is niet correct of u heeft nog geen account.

Ik wil dat fail2ban na 50 pogingen een ban geeft op het ip wat dus probeerd wachtwoorden te raden.

iemand idee?

Addon in Joomla installeren? Of wil je het voor klanten doen die deze addon niet willen installeren?

Sent from my GT-I9505 using webhostingtalk mobile app

Oorspronkelijk geplaatst door 24x7hosting

Addon in Joomla installeren? Of wil je het voor klanten doen die deze addon niet willen installeren?

Sent from my GT-I9505 using webhostingtalk mobile app

Ja, wil het op de server zelf draaien wordt gek van dat onnodige dataverkeer!

Oorspronkelijk geplaatst door izzi

Ja, wil het op de server zelf draaien wordt gek van dat onnodige dataverkeer!

Eh dataverkeer? Dat doet niet veel. Ik zou mij eerder zorgen maken om de beveiliging en op het gebied van resources de server belasting (het is toch weer een web, PHP en MySQL proces wat relatief zwaar is in vergelijking met static html).

Tip: http://baxeico.wordpress.com/2014/03...acks-file2ban/. Ik zou de Engelse versie behouden en daarnaast de Nederlandse versie toevoegen. Verder moet je opletten dat je naar de juiste logs verwijst, voor DirectAdmin is dit /var/log/httpd/domains/*error.log .

Oorspronkelijk geplaatst door Yourwebhoster

Eh dataverkeer? Dat doet niet veel. Ik zou mij eerder zorgen maken om de beveiliging en op het gebied van resources de server belasting (het is toch weer een web, PHP en MySQL proces wat relatief zwaar is in vergelijking met static html).

Tip: http://baxeico.wordpress.com/2014/03...acks-file2ban/. Ik zou de Engelse versie behouden en daarnaast de Nederlandse versie toevoegen. Verder moet je opletten dat je naar de juiste logs verwijst, voor DirectAdmin is dit /var/log/httpd/domains/*error.log .

Kende deze al en dit is met een plugin voor joomla verder draaien de websites onder apache2 itk mpm en als ik eerlijk ben is het ook de verantwoordelijk voor de website eigenaar zijn/haar site up to date te houden.

Oorspronkelijk geplaatst door izzi

Kende deze al en dit is met een plugin voor joomla verder draaien de websites onder apache2 itk mpm

Ik neem aan dat de foutmelding die jij geeft in een log komt? Dan zou je zoiets kunnen proberen als failregex:
INFO <HOST> Joomla FAILURE: De combinatie van gebruikersnaam en wachtwoord is niet correct of u heeft nog geen account.

Oorspronkelijk geplaatst door Yourwebhoster

Ik neem aan dat de foutmelding die jij geeft in een log komt? Dan zou je zoiets kunnen proberen als failregex:
INFO <HOST> Joomla FAILURE: De combinatie van gebruikersnaam en wachtwoord is niet correct of u heeft nog geen account.

Dank, ga deze proberen maar ik ga het anders aanpakken ik pad de access_log en deze regex:

failregex = ^<HOST> .* "GET /administrator/index.php .*"
^<HOST> .* "POST /administrator/index.php .*"

Dat moet werken, zal het nog wel even laten weten wat voor oplossing werkt!

Oorspronkelijk geplaatst door izzi

Dank, ga deze proberen maar ik ga het anders aanpakken ik pad de access_log en deze regex:

failregex = ^<HOST> .* "GET /administrator/index.php .*"
^<HOST> .* "POST /administrator/index.php .*"

Dat moet werken, zal het nog wel even laten weten wat voor oplossing werkt!

Let op dat je hier ook legitiem verkeer mee pakt. Joomla werkt met name met index.php dus die ga je nu ook meenemen. Door in de logs de foutmeldingen op te pakken heb je alleen de foute logins en niet het legitieme verkeer.

2014-06-17 09:59:35,342 fail2ban.actions: WARNING [apache-joomla-admin] Ban 203.185.55.162
2014-06-17 09:59:57,371 fail2ban.actions: WARNING [apache-joomla-admin] Ban 176.9.125.177

Oorspronkelijk geplaatst door izzi

2014-06-17 09:59:35,342 fail2ban.actions: WARNING [apache-joomla-admin] Ban 203.185.55.162
2014-06-17 09:59:57,371 fail2ban.actions: WARNING [apache-joomla-admin] Ban 176.9.125.177

Is dit met mijn suggestie of je eigen voorbeeld waarbij je legitiem verkeer (en dus ook klanten) blokkeert?

Oorspronkelijk geplaatst door Yourwebhoster

Is dit met mijn suggestie of je eigen voorbeeld waarbij je legitiem verkeer (en dus ook klanten) blokkeert?

mijn regex

Oorspronkelijk geplaatst door izzi

mijn regex

Kan je bevestigen dat legitiem verkeer niet geblokkeerd wordt? Als ik je regex goed lees dan moet je dus 50 x het volgende doen:
1. GET
2. POST

Niet iedereen zal dit 50 x doen maar je beperkt toch een gebruiker hier in als hij het wel doet. Waarom zou je niet de andere methode willen gebruiken die verder geen beperkingen op legt?

Oorspronkelijk geplaatst door Yourwebhoster

Kan je bevestigen dat legitiem verkeer niet geblokkeerd wordt? Als ik je regex goed lees dan moet je dus 50 x het volgende doen:
1. GET
2. POST

Niet iedereen zal dit 50 x doen maar je beperkt toch een gebruiker hier in als hij het wel doet. Waarom zou je niet de andere methode willen gebruiken die verder geen beperkingen op legt?

Wat ik zie in de log zie van fail2ban en een check op de logs van de virtualhosts bant hij de juiste ip ! Ik zal het vandaag nog even goed monitoren.Nog even teurg te komen op jou vraag, ik zou dan als ik de errorlog.php gebruikt van joomla ook een regex moete maken in alle talen van joomla installaties op de server en dat zijn er heel wat. Is even een keuze en deze leek mij het makkelijkste te realiseren.

Is er geen mod_security regel te bedenken voor meermaals opvragen van een inlog url ?

http://snippets.aktagon.com/snippets...th-modsecurity is dit misschien iets?

En er zit een klein foutje in je regex, '.' is een speciaal teken in een regex
Het zal wel werken omdat '.' elk teken accepteert (dus ook '.' zelf) maar het is netter om het escapen.