fail2ban: Zugriffe auf xmlrpc sperren

Habt ihr auch ständig im Logfile Angriffe auf Eure xmlrpc.php die als POST Zugriff aufgerufen werden?
Und ihr habt fail2ban im Einsatz?

Dann gibt es folgende Lösungen dazu, als root Kommandozeile
oder Plesk Administrator  im Obsidian in der Plesk Administration

- Per Kommandozeile ssh auf seinen root Server

Starte den Editor mit folgendem Konfigfile

#vi  /etc/fail2ban/filter.d/wordpress-xmlrpc.conf

War sie bisher noch nicht vorhanden, so wird sie dadurch angelegt.
In dieses File bitte folgende Einträge:

[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.*
ignoreregex =

Dann könnt ihr es im vi Editor mit  :wq  abspeichern und verlassen (write und quit)

Starte den Editor noch einmal jetzt für die noch fehlende jail:
#vi  /etc/fail2ban/jail.d/wordpress-xmlrpc.conf

Hier kommt dann der folgende Code hinein:

[wordpress-xmlrpc]
enabled = true
filter = wordpress-xmlrpc
action = iptables-multiport[name="wordpress-xmlrpc", port="http,https"]
logpath = /var/www/vhosts/system/*/logs/*access*log
maxretry = 5
bantime= 60000

--------------------------------------------------------------------------------------

Was bedeuten die Einträge bei fail2ban?
enabled     = true
(Jail aktivieren)

filter           = wordpress-xmlrpc
(Der Filtername siehe oben)


action        = iptables-multiport[name="wordpress-xmlrpc", port="http,https"]
(was fail2ban tun soll, hier die Ports für web und mit zertifikat sperren)

logpath      = /var/www/vhosts/system/*/logs/*access*log
(in allen Logfiles des Servers nachsehen)

maxretry   = 1
(Wieviele Versuche bis zur Sperre )


bantime     = 36000
(36000 Sekunden =  10 Stunden Sperre)

--------------------------------------------------------------------------------------

Danach muss der fail2ban neu gestartet werden um Filter und Jail zu aktivieren:
# /etc/init.d/fail2ban restart

Je nach Linux Version auch
:

# service fail2ban restart

Oder per Plesk Obsidian einrichten
(fail2ban sollte installiert sein!)

- Wähle links Tools und Einstellungen
- Wähle unter Sicherheit
=> Sperren von IP-Adressen (Fail2Ban)   (Ist dieser Punkt nicht vorhanden, musst Du erst Fail2ban installieren!)
-  Klicke oben auf Jails und + Jail hinzufügen
- Benenne unter Name die Jail wordpress-xmlrpc
- Schreibe unter Aktion:  iptables-multiport[name="wordpress-xmlrpc", port="http,https"]
- Protokollpfad  /var/www/vhosts/system/*/logs/*access*log
- Zeitraum für IP-Sperre  60000
- Maximale Anzahl   1
[ OK ]

 

- Klicke auf Filter verwalten
  + Filter hinzufügen
- Name: wordpress-xmlrpc
- Inhalt: 
[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.*
ignoreregex =
[ OK ]


zur Sicherheit könntest Du noch unter:

- Tools und Einstellungen
- Sperren von IP Adressen (Fail2Ban)
- Sperren von IP-Adressen ausschalten, warten
- dann wieder einschalten über denselben Button.


Aber ich glaube die Jails /Filter sind auch ohne Neustart sofort aktiv!

Übrigens siehst Du auf dieser Seite auch die schon gesperrten IPs und von welcher Jail sie gesperrt worden sind!

Viel Erfolg!


Wenn es Dir geholfen hat oder Dich weitergebracht hat, dann hinterlasse mir doch einen Kommentar!

Views: 19

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert