Bloqueando los ataques más básicos

En las tareas rutinarias de revisión de los logs, podemos encontrar intentos de acceso por fuerza bruta en el servicio de correo, ssh, ftp, y logs en apache de los scanners más comunes buscando por rutas concretas de foros phpbb, mysqladmin, etc…

Una solución muy cómoda y rápida para bloquear los ataques más básicos es fail2ban que revisa los logs en busca de expresiones regulares que definimos para bloquear IPs.

En nuestro caso vamos a bloquear las ips que están generando errores 404 en apache, es decir están itentando consultar páginas que no existen.

Como es habitual tenemos un script de copiar y pegar para instalar fail2ban y agregar nuestra regla :

apt-get --yes install fail2ban

cat > /etc/fail2ban/filter.d/apache-404.conf << EOF
##
## http://www.hostingaldescubierto.com
## stop web scanners
##
## Bassed on : http://blog.barbarycodes.com/2010/10/06/automated-banning-of-script-kiddies-with-fail2ban/
##
##
[Definition]
failregex = (?P<host>[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}) .+ 404 [0-9]+ "
ignoreregex =
EOF

cat >> /etc/fail2ban/jail.conf << EOF
[apache-404]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/apache2/access.log
bantime = 3600
findtime = 60
maxretry = 5
EOF

/etc/init.d/fail2ban restart

Esperamos que os sirva y que os quite algunos dolores de cabeza 😀