August 26th, 2016

like an
  • vovney

Вопрос практикам инфобеза

Пятница, значит можно.
Дано:
- настроенный laps, смена пароля через каждый 30 дней, все стандартно
- ноутбук на удаленной площадке в Салехарде, без доступа к VPN/AD вообще

Какой пароль будет на 32 день и как его узнать? И что вообще делать с этим?

Collapse )
Rabbid

fail2ban madhouse

Всем безопасности!

Друзья, я уже напрочь сломал мозг, или что там вместо него у меня, но я не могу отправить вас в пятничку без головоломки.
Итак, есть хост, на котором бежит LAMP, в нём крутится Wordpress.
Одна нехорошая редиска стала атаковать данный хост попыткой загрузить xmlrpc.php файл.
Лог апача пестрит записями типа
ххх.хх.ххх.хх - - [26/Aug/2016:13:54:10 -0400] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

Я, как белый человек, устанавливаю fail2ban. Первая затыка - пакет устанавливается, а директория /etc/fail2ban не создаётся. Ну ладно, есть у меня другой хост с уже работающим софтом, копирую содержимое оттуда. Хотя, уже подозрительно.
Затем добавляю в fail2ban фильтр, основываясь на инструкции http://xplus3.net/2013/05/09/securing-xmlrpc-wordpress/
Обычный copy\paste, перезапуск fail2ban иииииии... Большой волосатый йух! Не банит! Начинаю играть с правилом, минимизируя регулярное выражение - фиг.
Начинаю делать локальный тест правила (выделив в отдельный файл сообщения об ошибках, что бы не парсить все 50 метров):
fail2ban-regex /tmp/xmlfai.log /etc/fail2ban/filter.d/apache-xmlrpc.conf

Результат:
Running tests
=============

Use failregex filter file : apache-xmlrpc, basedir: /etc/fail2ban
Use log file : /tmp/xmlfai.log
Use encoding : UTF-8


Results
=======

Failregex: 442 total
|- #) [# of hits] regular expression
| 1) [442] .* "POST /xmlrpc.php*
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
| [442] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-

Lines: 442 lines, 0 ignored, 442 matched, 0 missed [processed in 0.12 sec]


И ни одного адреса, который должен быть забанен.
Вот такая чехарда уже который час, а я всё пытаюсь понять ЧЯДНТ?

Ткните носом в ошибку, я уже не понимаю, в чём дело.
Всем заранее спасибо.

UPDT:
fail2ban-0.9.3-1.el7.noarch
php-5.6.21-1.el7.remi.x86_64
httpd-2.4.6-40.el7.centos.4.x86_64
CentOS Linux release 7.2.1511 (Core)