• 1
lundi, 29 septembre 2014 23:24

Fail2Ban : Wordpress et exploit XMLRPC

Écrit par

Comme je vous en ai parlé dans un précédent article, mon serveur a été victime d'une tentative d'exploit d'une faille Wordpress.

Pour m'en prémunir, j'ai créé une nouvelle règle dans Fail2Ban qui va analyser les logs et repérer l'action suspecte à bloquer.

Si vous n'avez pas encore installé Fail2Ban :

sudo apt-get install fail2ban

Ensuite, il faut commencer par créer un filtre pour parser les logs à la recherche des nombreuses tentatives d'accès :

cd /etc/fail2ban/filter.d
sudo vi apache-xmlrpc.conf

Et y ajouter le code suivant :

[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.* ignoreregex =

Quittez et enregistrez le fichier. A ce stade, vous venez de créer le filtre qui va chercher l'adresse IP correspondant à la machine qui tente de lancer l'exploit sur votre fichier xmlrpc.php situé à la racine de votre installation Wordpress. Passons maintenant à sa mise en place dans la configuration de Fail2Ban :

cd /etc/fail2ban/
sudo vi jail.conf

Ajoutez à la liste des filtres déjà présents celui que vous venez de créer :

[apache-xmlrpc]
enabled = true
port = http,https
filter = apache-xmlrpc
logpath = /CHEMIN-VERS-VOS-FICHIERS-DE-LOG/access.log
maxretry = 6

Quittez et enregistrez le fichier. Il ne reste plus qu'à redémarrer le service Fail2Ban :

sudo service fail2ban restart

Et le tour est joué ! Vous n'avez plus qu'à surveiller les logs de Fail2Ban pour détecter les IPs qui tentent d'accéder à votre site et qui sont bloquées par le logiciel pour ensuite faire un whois suivi d'un déclenchement d'abuse.

Attention toutefois, cette astuce n'est efficace que sur de modestes sites. Si vous héberger un gros site avec un fort traffic, le parcours des logs Apache par Fail2Ban risque probablement d'impacter les performances de votre serveur en mobilisant une charge importante du CPU !

Sponsornot : Zéro collaboration

Exe

Qualifié de Geek depuis mon plus jeune âge, Twit-Addict et un peu râleur sur les bords, je m'intéresse à tout ce qui touche les nouvelles techno. Passionné d'informatique, de jeux vidéo, de cinéma et de création numérique, il m'arrive également d'explorer les domaines de la photographie et du DIY.

www.exe-prod.com/

Ajouter votre commentaire

Écrire un commentaire en tant qu'invité

0
Vos commentaires sont soumis à la modération d'un administrateur.

Liste des participants qui ont commenté cet article

  • Invité - Kevin

    Signaler

    Bonjour,
    Bon tuto et bien expliqué, je l'ai utilisé pour mon serveur, merci.
    Par contre, si le fichier xmlrpc.php est appelé par le seveur lui même, il est nécessaire que l'ip du serveur soit ignorée dans la config fail2ban pour éviter que le serveur se bannisse ;)

    0 Raccourci URL: Répondre
Entrez dans le monde de la haute voltige avec le T.16000M FCS Hotas !
Trouvez les meilleurs accessoires disponibles pour Samsung Galaxy S8