Ajuda com Fail2Ban no PhpMyAdmin

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Ajuda com Fail2Ban no PhpMyAdmin

Henrique Fagundes-4
Prezados Colegas,

Estou com uma dificuldade para fazer o Fail2Ban funcionar no phpmyadmin.

Estou utilizando CentOS 8.1.1911 e o fail2ban 0.10.5-2.
O meu PhpMyAdmin está versão 4.9.0.1.

Percebi que o PhpMyAdmin loga as falhas de login no arquivo “/var/log/secure”.

E ele tem uma saída assim:

Feb 14 21:40:37 www phpMyAdmin[3982]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:42:07 www phpMyAdmin[3978]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:42:09 www phpMyAdmin[3982]: user denied: root (mysql-denied) from 177.122.254.10
Feb 14 21:48:06 www phpMyAdmin[3981]: user denied: root (mysql-denied) from 177.122.254.10

Então, configurei meu “/etc/fail2ban/jail.conf” dessa maneira:

[phpmyadmin]
enabled = true
port = http,https
filter = phpmyadmin
action = iptables-multiport[name=phpmyadmin, port="http,https", protocol=tcp]
         sendmail-whois[name=PHPMYADMIN, dest=[hidden email]]
logpath = /var/log/secure
maxretry = 3

E o arquivo de configuração do filtro (/etc/fail2ban/filter.d/phpmyadmin.conf), as expressões etão assim:
         
[Definition]
denied = mysql-denied|allow-denied|root-denied|empty-denied
failregex = ^<HOST> -.*(?:%(denied)s)$
ignoreregex =

Eu acredito que não esteja sabendo formar corretamente a expressão, pois o Fail2Ban não está bloqueando de maneira nenhuma.

Será que alguém poderia me ajudar nessa questão?

Ficarei muito grato.

Atenciosamente,

Henrique Fagundes
Analista de Suporte Linux
[hidden email]
Skype: magnata-br-rj
Linux User: 475399

https://www.aprendendolinux.com 
https://www.facebook.com/AprendendoLinux 
https://youtube.com/AprendendoLinux 
https://twitter.com/AprendendoLinux 
https://t.me/AprendendoLinux 
https://t.me/GrupoAprendendoLinux 
______________________________________________________________________
Participe do Grupo Aprendendo Linux
https://listas.aprendendolinux.com/listinfo/aprendendolinux 

Ou envie um e-mail para:
[hidden email]

BRASIL acima de tudo, DEUS acima de todos!


--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
Reply | Threaded
Open this post in threaded view
|

Re: Ajuda com Fail2Ban no PhpMyAdmin

Adauto Serpa
Henrique,

Já tentou essa solução?
https://serverfault.com/questions/435016/custom-fail2ban-filter-for-phpmyadmin-bruteforce-attempts

Atenciosamente,

Adauto Serpa
Analista de Infraestrutura TI



Em sex., 14 de fev. de 2020 às 19:01, Henrique Fagundes <
[hidden email]> escreveu:

> Prezados Colegas,
>
> Estou com uma dificuldade para fazer o Fail2Ban funcionar no phpmyadmin.
>
> Estou utilizando CentOS 8.1.1911 e o fail2ban 0.10.5-2.
> O meu PhpMyAdmin está versão 4.9.0.1.
>
> Percebi que o PhpMyAdmin loga as falhas de login no arquivo
> “/var/log/secure”.
>
> E ele tem uma saída assim:
>
> Feb 14 21:40:37 www phpMyAdmin[3982]: user denied: root (mysql-denied)
> from 177.122.254.10
> Feb 14 21:42:07 www phpMyAdmin[3978]: user denied: root (mysql-denied)
> from 177.122.254.10
> Feb 14 21:42:09 www phpMyAdmin[3982]: user denied: root (mysql-denied)
> from 177.122.254.10
> Feb 14 21:48:06 www phpMyAdmin[3981]: user denied: root (mysql-denied)
> from 177.122.254.10
>
> Então, configurei meu “/etc/fail2ban/jail.conf” dessa maneira:
>
> [phpmyadmin]
> enabled = true
> port = http,https
> filter = phpmyadmin
> action = iptables-multiport[name=phpmyadmin, port="http,https",
> protocol=tcp]
>          sendmail-whois[name=PHPMYADMIN, dest=[hidden email]]
> logpath = /var/log/secure
> maxretry = 3
>
> E o arquivo de configuração do filtro
> (/etc/fail2ban/filter.d/phpmyadmin.conf), as expressões etão assim:
>
> [Definition]
> denied = mysql-denied|allow-denied|root-denied|empty-denied
> failregex = ^<HOST> -.*(?:%(denied)s)$
> ignoreregex =
>
> Eu acredito que não esteja sabendo formar corretamente a expressão, pois o
> Fail2Ban não está bloqueando de maneira nenhuma.
>
> Será que alguém poderia me ajudar nessa questão?
>
> Ficarei muito grato.
>
> Atenciosamente,
>
> Henrique Fagundes
> Analista de Suporte Linux
> [hidden email]
> Skype: magnata-br-rj
> Linux User: 475399
>
> https://www.aprendendolinux.com
> https://www.facebook.com/AprendendoLinux
> https://youtube.com/AprendendoLinux
> https://twitter.com/AprendendoLinux
> https://t.me/AprendendoLinux
> https://t.me/GrupoAprendendoLinux
> ______________________________________________________________________
> Participe do Grupo Aprendendo Linux
> https://listas.aprendendolinux.com/listinfo/aprendendolinux
>
> Ou envie um e-mail para:
> [hidden email]
>
> BRASIL acima de tudo, DEUS acima de todos!
>
>
> --
> Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece
>
> Lista de discussão Ubuntu Brasil
> Histórico, descadastramento e outras opções:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
>
--
Mais sobre o Ubuntu em português: http://www.ubuntu-br.org/comece

Lista de discussão Ubuntu Brasil
Histórico, descadastramento e outras opções:
https://lists.ubuntu.com/mailman/listinfo/ubuntu-br