Bargeo Création

, , ,

Comment sécuriser son serveur avec Fail2ban et Iptables, et stopper les attaques sur le fichier xmlrpc.php de WordPress

Préambule :

Cet article n’a pas vocation à être exhaustif ou « parfait ». Il s’agit simplement d’un aide mémoire que je partage ici afin de permettre à d’autre personnes rencontrant les mêmes problématiques que moi de les résoudre plus vite que je ne l’ai fait la première fois.

Toutes les contributions sont les bienvenues pour le faire évoluer. Les commentaires sont fait pour ça 😉

Présentation :

Fail2ban est un logiciel libre Linux permettant d’analyser les logs d’un serveur, et de déclencher des actions si ceux-ci révèlent des comportements suspects. Ses mécanismes de détections sont basées sur les expressions régulières, personnalisables comme nous le verrons, ce qui en fait un outil particulièrement puissant. Les actions à mener en cas de détection d’un comportement suspect peuvent aller de l’envoi d’un simple mail d’alerte à la mise en place d’un système de règles du firewall (Iptables dans l’exemple ci-dessous).

 

Très modulaire, Fail2Ban se base sur un système de prisons (jails). Une prison est un service auquel on applique des règles (filtres), et dans laquelle des adresses IP ne respectant pas ces règles vont être mises. On applique alors à cette prison une action pour contrer les IPs concernées, comme une interdiction de communiquer avec le serveur.

 

Installation de Fail2ban :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

apt-get install fail2ban

[/pastacode]

Si vous n’êtes pas root, n’oubliez pas de faire précéder cette commande de sudo 😉

Configuration minimale de Fail2ban :

Le fichier nous intéressant se trouve (sur une Debian) dans /etc/fail2ban/jail.conf . Ouvrez-le avec votre éditeur de texte favori :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

vim /etc/fail2ban/jail.conf

[/pastacode]

Pour activer une prison (jail), il suffit de passer à true le paramètre enabled de la prison correspondante.

Par exemple, pour activer la prison SSH (et empêcher les tentative incessantes de script kiddies de hacker votre serveur, ce qui pollue quand même pas mal les logs) :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

[ssh]

enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 6
bantime  = 2592000

[/pastacode]

Comme vous le voyez, rien de plus simple.

Pour un serveur web, apache est généralement pas mal attaqué. Activer également les jails apacheapache-multiport et apache-noscript a donné d’excellent résultats chez moi, faisant économiser sensiblement les ressources serveur.

En début de fichier, la section [DEFAULT] peut aussi vous intéresser.

Pour recevoir des mails vous avertissant des IP ayant été bannies, mettez à jour le paramètre destemail (avec votre adresse mail évidemment). Modifier également le paramètre action :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

# Pour recevoir des mails simplifiés
action = %(action_mw)s

# ou

# Pour recevoir des mails détaillés
action = %(action_mwl)s

[/pastacode]

Ces paramètres sont ceux par défaut, et peuvent bien sûr être redéfinis différemment dans chaque jail.

Il ne vous reste plus qu’à relancer Fail2ban :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

service fail2ban restart

[/pastacode]

Si vous avez activé l’envoi de mail, ceux-ci ne devraient pas tarder à arriver. Sinon, vous pouvez visualiser les règles mises à jour d’Iptables avec la commande suivante :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

iptables -L

[/pastacode]

Créer votre propre règle pour stopper les attaques sur le fichier xmlrpc.php de WordPress :

Tout d’abord, nous devons créer le filtre qui sera appliqué à notre prison. Appelons-le apache-xmlrpc.conf, par exemple (le nom du fichier servira de définition au paramètre filter de notre jail), et plaçons le avec les autres filtres dans /etc/fail2ban/filter.d/.

Voici à quoi doit ressembler votre fichier :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

[Definition]
failregex = ^ .*POST .*xmlrpc\.php.*
ignoreregex =

[/pastacode]

La regex est minimale, adaptez-la à vos besoins si nécessaire. dans celle-ci, ^<HOST> correspond à l’adresse IP que vous trouvez normalement au début de chaque ligne d’un fichier de log.

Puis, ré-éditons le fichier etc/fail2ban/jail.conf pour rajouter la jail correspondant à ce nouveau filtre :

[pastacode lang= »bash » message= » » highlight= » » provider= »manual »]

# attaques de WordPress xmlrpc.php
[apache-xmlrpc]
enabled  = true
port     = http,https
filter   = apache-xmlrpc
logpath  = /var/log/apache*/*access.log
maxretry = 6

[/pastacode]

Pensez à bien adapter le paramètre logpath à votre configuration !

Puis, relancez Fail2ban afin qu’il prenne en compte votre nouvelle règle.

By :
Comments : 0

Laissez un commentaire

*

Horaires & informations

Bargeo Création
14 au Bourg, 33580 Coutures
contact[@]bargeo.fr
05 56 04 57 11

Horaires :
Lundi - Jeudi : 9h - 18h
Vendredi : 9h - 12h

Hébergement de sites internet – Région bordelaise

copyright © 2015