Bloquer le fuzzing d'URL ?

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Bloquer le fuzzing d'URL ?

Supras

Bonsoir à tous,

J'en ai un peu ma claque dans mes fichiers de logs de découvrir chaque jour du fuzzing d'URL sur mon serveur.
J'ai quasiment tout le temps les mêmes pour tenter d'accrocher une page admin :

/wp-login.php
/wp-admin.php
/phpmyadmin
/adminer
/webmin
/Joomla/administrator

Bref du grand classique quoi..

Que faire ..
Blacklisté une liste d'URL dans son reverse proxy ? Utilisation d'un WAF du style ModSecurity ?

Auriez-vous une idée de comment stoper sa ? Ou alors un retour, un avis..je suis preneur ! 😉

Merci d'avance ! 🙂
A+

Wagner

Bonsoir,

cela se stop assez facilement notamment gràce à un logiciel comme Fail2Ban (etc). Donc, il faudrait nous dire sur quoi repose la sécurité ? Puisque non il n'y a rien là qui puisse nous informer.

PS : Je crois que c'était celui-ci (le dernier).
Donc, c'est exacte (du grand classique). Alors je n'ai pas répondu car j'étais souvent absent (et sur le moment (ou plutôt en cette période), c'était certainement vrai aussi pour un grand nombre d'autres personnes) et oui, il existe quelques topics assez similaire. Auquel j'ai parfois apporté quelques réponses.

Supras

Wagner Ma sécurité repose sur du fail2ban et PeerGuardian Linux. Pas de soucis au niveau des mes différents services réseaux niveau sécurité. Je dirais surtout au niveau de l'appli. Web de NGINX et d'incessantes requêtes WEB à la recherceh d'une partie administrative.

Exact Nebukad, j'y ai pensé ! Je pense faire sa prochainement 😉

Nebukad

Tu as la possibilité de mettre en place une ZipBomb 🙂
https://mondedie.fr/d/9633-zip-bomb

Wagner

C'est un début mais cela reste vague car on ignore s'il fonctionne correctement ? De plus, cela aiderait de nous indiquer s'il est configuré et si oui comment ?
Parce qu'il devrait remplir son rôle. Du moins s'il n'y a pas une erreur quelque part ? Sans le(s) fichier(s), nous ne pourrons pas le déterminer.

Supras

Bonjour 😁

Ma conf. fail2ban concernant Nginx :

[nginx-http-auth]

enabled = false
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

Règle donc désactivée. Je pensais pourtant l'avoir activé 😏

Et donc au niveau de mon fichier /var/log/nginx/error.log impossible de retrouver toutes les requêtes qui m'intéressent, pareil pour mon fichier access.log... je n'arrive pas à mettre la main dessus 😡

Wagner

Bonjour,

on avance mais il manque des petites choses. Il y a quoi dans le fichier nginx-http-auth.conf ? Parce que celui-là ne concerne que les identifications. Il y a eu des modifications ?
Il n'y a pas d'autre réglage (en générale, il y en a 2 ou 3 de jails) ? Comme on peut le voir, il existe un tas de fichiers dans le dossier filter.d. Alors grâce à cette commande :
ls -all /etc/fail2ban/filter.d | grep nginx;
Nous pouvons nous assurer de l'existence de ces fichiers et notamment ceux concernant Nginx.

Pourtant, il n'y a eu aucun changement... Enfin c'est étrange car ils devraient se trouver toujours au même endroit : /var/log/nginx. À moins d'avoir modifié les lignes access_log et error_log ?

Supras

Wagner Contenu de mon nginhx-http-auth.conf :

#fail2ban filter configuration for nginx
[Definition]
failregex = ^ [error] \d+#\d+: *\d+ user "\S+":? (password mismatch|was not found in "."), client: <HOST>, server: \S+, request: "\S+ \S+ HTTP/\d+.\d+", host: "\S+"\s$

ignoreregex =

#DEV NOTES:
#Based on samples in https://github.com/fail2ban/fail2ban/pull/43/files
#Extensive search of all nginx auth failures not done yet.
#
#Author: Daniel Black

Pas de modifications dans ce fichiers. J'ai seulement modifié mon fail2ban.conf pour renseigner le SSH, FTP..

J'ai par contre trouver quelque chose d'intéressant dans ce filter.d : nginx-badbots.conf

#Fail2Ban configuration file nginx-badbots.conf
#Author: Patrik 'Sikevux' Greco <sikevux@sikevux.se>

[Definition]

#Option: failregex
#Notes.: regex to match access attempts to setup.php
#Values: TEXT

failregex = ^<HOST> .?"GET.?\/setup.php.?" .?

#Anti w00tw00t
^<HOST> .?"GET .w00tw00t.* 404

#try to access to directory
^<HOST> .?"GET .admin. 403
^<HOST> .?"GET .admin. 404
^<HOST> .?"GET .install. 404
^<HOST> .?"GET .dbadmin. 404
^<HOST> .?"GET .myadmin. 404
^<HOST> .?"GET .MyAdmin. 404
^<HOST> .?"GET .mysql. 404
^<HOST> .?"GET .websql. 404
^<HOST> .?"GET .webdb. 404
^<HOST> .?"GET .webadmin. 404
^<HOST> .?"GET \/pma\/. 404
^<HOST> .?"GET .phppath. 404
^<HOST> .?"GET .admm. 404
^<HOST> .?"GET .databaseadmin. 404
^<HOST> .?"GET .mysqlmanager. 404
^<HOST> .?"GET .phpMyAdmin. 404
^<HOST> .?"GET .xampp. 404
^<HOST> .?"GET .sqlmanager. 404
^<HOST> .?"GET .wp-content. 404
^<HOST> .?"GET .wp-login. 404
^<HOST> .?"GET .typo3. 404
^<HOST> .?"HEAD .manager. 404
^<HOST> .?"GET .manager. 404
^<HOST> .?"HEAD .blackcat. 404
^<HOST> .?"HEAD .sprawdza.php. 404
^<HOST> .?"GET .HNAP1. 404
^<HOST> .?"GET .vtigercrm. 404
^<HOST> .?"GET .cgi-bin. 404
^<HOST> .?"GET .webdav. 404
^<HOST> .?"GET .web-console. 404
^<HOST> .?"GET .manager. 404
#Option: ignoreregex
#Notes.: regex to ignore. If this regex matches, the line is ignored.
#Values: TEXT
#
ignoreregex =

Peut-être le début d'une piste avec le paramétrage de ce fichier ?

Pour en revenir au log, j'ai retrouvé l'endroit ou ils étaient stockés. J'ai effectivement modifié les chemins par défaut 😉 j'ai bien maintenant toutes mes requêtes vers es pages admin, wp-admin, joomla/administrator etc etc..

Donc maintenant je pencherais pour un paramétrage de mon /etc/fail2ban/jail.conf en ajoutant un nouveau filtre : nginx-badbots qui contiendras sur le /etc/fail2ban/filter.d/nginx-badbots.conf toutes mes règles de requêtes que je juge comme nuisible. Sur mon jail.conf, j'indique les chemins correct de logs.

Qu'en penses-tu ?

Wagner

Après le redémarrage de Fail2Ban, le fitre devrait apparaître : fail2ban-client status;. Donc, cela me paraît bon car c'est bien cette piste qu'il faut explorer (et il serait possible de simplifier un brin ce procéder) .

Néanmoins, il y aura probablement des corrections à apporter. S'il n'y a rien (cela devrait répertorier les bans); fail2ban-client status nginx-badbots;(cela devrait répertorier les bans) alors il faudra tester (manuellement) si jamais il y a un souci.
Dans ce cas, il existe aussi cette commande : fail2ban-client -d | grep 'nginx-badbots' qui devrait aider.