アタックするの辞めてくれないかな!

この記事を読む およそ時間 2

アタック!!

久しぶりにブログ書いてますが、errorログにアタックを検出したのでネタにしたいと思います。

まず下記がアタックされている様子のスクリーンショットです。222.185.238.250のGIPからアタックされていることが分かります。

アタック元

という事なので、これは中国からのアタックだという事が分かりますね。ウザイのでそろそろ対策を講じて行きたいと思います。方向性はアタックされるIPがある特定のルールに基づき自動BANされる仕組みをつくって行きます。

ブログを書きながら構成変更完了

○まずは、必要なツールをインストールをする。
sudo yum install fail2ban fail2ban-systemd

○次に、今回閉め出したいアクセスを検出するフィルターを作成する
sudo vi //fail2ban/filter.d/wordpress_filter.conf


○フィルターを使っての動作を記述する
sudo vi /etc/fail2ban/jail.d/wordpress_jail.conf

[DEFAULT]
bantime  = 43200
findtime  = 3600
maxretry = 3
#banaction = firewallcmd-ipset
banaction = iptables-multiport
backend = gamin
action = %(action_mwl)s
ignoreip = 127.0.0.1/8

[recidive]
enabled = true
bantime = -1
findtime = 259200
maxretry = 2

[sshd]
enabled = true
port = 2345

[wordpress]
enabled = true
filter = wordpress_filter
logpath = /var/log/nginx/*access.log

この辺りで設定した正規表現で該当アクセスを検出できているか?確認
今回で言うと、下記の問題中国からのアタックを閉め出したい訳なので、該当アクセスにヒットしている事を確認

fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/wordpress_filter.conf –print-all-matched

|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /123131/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /program/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /shopdb/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:21 +0900] "GET /phppma/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"
|  222.185.238.250 - - [06/May/2019:03:31:22 +0900] "GET /phpmy/index.php HTTP/1.1" 404 548 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)" "-"

下記で動作をprocessをスタートして状況を確認する

systemctl start fail2ban
systemctl enable fail2ban.service
systemctl status fail2ban

動作確認

[hogehoge@vaaabbb-daada-gfgfldnfkjdbafndsanfdaslnfasdl ]# tail -f fail2ban.log
2019-05-06 16:02:54,087 fail2ban.server         [19532]: INFO    Exiting Fail2ban
2019-05-06 16:09:17,749 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 106.72.132.224
2019-05-06 16:09:18,066 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 66.249.71.52
2019-05-06 16:09:18,781 fail2ban.actions        [20201]: NOTICE  [wordpress] Ban 66.249.71.50
2019-05-06 16:09:31,315 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 106.72.132.224
2019-05-06 16:09:31,524 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 66.249.71.52
2019-05-06 16:09:31,736 fail2ban.actions        [20201]: NOTICE  [wordpress] Unban 66.249.71.50
2019-05-06 16:09:34,038 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 106.72.132.224
2019-05-06 16:09:34,462 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 66.249.71.50
2019-05-06 16:09:34,979 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 66.249.71.52
2019-05-06 16:22:53,371 fail2ban.actions        [20367]: NOTICE  [wordpress] Ban 126.247.226.253

後は、zabbixで上記BANされたIPの数とUNBANされた数をカウントしてグラフ化するかな!

cat fail2ban.log | grep Ban | wc -l この辺りをZabbixに叩かせてでた数字をグラフ化すると可視化できる。後ついでにslackにプッシュする設定を行う感じで外に出ている時に知る事が出来ますね。まあ、知った所で何もないんですがwひとまず、張り付いて見張っている訳にはいかないので、これでいったん自動運転をしようと思います。

という事で、ひとまず、実装はできたのでこれで様子をみようと思います。
それでは、何か参考にして頂ければ幸いです。

その後

いいですねぇ。順調にブロックされているGIPがキャッチ出来ています。ブロックされていても、パケットカウントが増えているので、おそらくクツールとかで、プログラム的にRETRYを繰り返しているのかなと思われます。まあ、ぶっちゃそんなツールを入れて直にクラックする奴なんて滅多にいないので、クラックされて侵入されてどこかのサーバやらPCやらの中で動いて居るのだと思いますけどね。まあ、ひとまず、不審な行動をするとBANされて一定時間くると開放されるけど、ある回数BANを繰り返すと、そのIPは永久にBANされたままになる様に設定をしています。とりあえず、他の寄生先を見つけて、違うGIPからアタックをするくらいしかないですが・・・。同様の状況になるので、あまり意味はなさげかなと思います。

 pkts bytes target     prot opt in     out     source               destination
   23  2261 REJECT     all  --  *      *       203.81.114.124       0.0.0.0/0            reject-with icmp-port-unreachable
   19  4476 REJECT     all  --  *      *       153.181.242.38       0.0.0.0/0            reject-with icmp-port-unreachable
   22  3400 REJECT     all  --  *      *       210.188.25.185       0.0.0.0/0            reject-with icmp-port-unreachable
   51  3387 REJECT     all  --  *      *       180.198.72.160       0.0.0.0/0            reject-with icmp-port-unreachable
   16   916 REJECT     all  --  *      *       60.149.92.77         0.0.0.0/0            reject-with icmp-port-unreachable
   16  4926 REJECT     all  --  *      *       118.241.130.248      0.0.0.0/0            reject-with icmp-port-unreachable
   12   552 REJECT     all  --  *      *       115.28.245.132       0.0.0.0/0            reject-with icmp-port-unreachable
  198 11928 REJECT     all  --  *      *       80.250.82.41         0.0.0.0/0            reject-with icmp-port-unreachable
   15  5122 REJECT     all  --  *      *       153.172.130.235      0.0.0.0/0            reject-with icmp-port-unreachable
   69  4140 REJECT     all  --  *      *       66.249.71.52         0.0.0.0/0            reject-with icmp-port-unreachable
   79  4740 REJECT     all  --  *      *       66.249.71.50         0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       126.247.226.253      0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       123.217.103.91       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.72.132.224       0.0.0.0/0            reject-with icmp-port-unreachable

 

Related posts