fail2ban und apache-badbot

[debianfan]

Hallo,

ich setze fail2ban für postfix und ssh sehr erfolgreich ein.

Jetzt dachte ich mir, für die Spider & Co wäre das auch das richtige.

Apache-badbot ist bei iptables eingetragen, d.h. fail2ban akzeptiert die Konfiguration erstmal soweit.

Die Datei /etc/fail2ban/filter.d/apache-badbots.conf sagt folgendes:

Code: Select all

[Definition]

badbotscustom = EmailCollector|WebEMailExtrac|TrackBack/1.02
badbots = atSpider/1.0|autoemailspider|China Local Browse 2.6|ContentSmartz|DataCha0s/2.0|DataCha0s/2.0|DBrowse 1.4b|DBrowse 1.4d|Demo Bot DOT 16b|Demo Bot Z 16b|DSurf15a 01|DSurf15a 71|DSurf15a 81|DSurf15a VA|EBrowse 1.4b|Educate Search VxB|EmailSiphon|EmailWolf 1.00|ESurf15a 15|ExtractorPro|Franklin Locator 1.8|FSurf15a 01|Full Web Bot 0416B|Full Web Bot 0516B|Full Web Bot 2816B|Industry Program 1.0.x|ISC Systems iRc Search 2.1|IUPUI Research Bot v 1.9a|LARBIN-EXPERIMENTAL (efp@gmx.net)|LetsCrawl.com/1.0 +http://letscrawl.com/|Lincoln State Web Browser|LWP::Simple/5.803|Mac Finder 1.0.xx|MFC Foundation Class Library 4.0|Microsoft URL Control - 6.00.8xxx|Missauga Locate 1.0.0|Missigua Locator 1.9|Missouri College Browse|Mizzu Labs 2.2|Mo College 1.9|Mozilla/2.0 (compatible; NEWT ActiveX; Win32)|Mozilla/3.0 (compatible; Indy Library)|Mozilla/4.0 (compatible; Advanced Email Extractor v2.xx)|Mozilla/4.0 (compatible; Iplexx Spider/1.0 http://www.iplexx.at)|Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent|Mozilla/4.0 efp@gmx.net|Mozilla/5.0 (Version: xxxx Type:xx)|MVAClient|NASA Search 1.0|Nsauditor/1.x|PBrowse 1.4b|PEval 1.4b|Poirot|Port Huron Labs|Production Bot 0116B|Production Bot 2016B|Production Bot DOT 3016B|Program Shareware 1.0.2|PSurf15a 11|PSurf15a 51|PSurf15a VA|psycheclone|RSurf15a 41|RSurf15a 51|RSurf15a 81|searchbot admin@google.com|sogou spider|sohu agent|SSurf15a 11 |TSurf15a 11|Under the Rainbow 2.2|User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)|WebVulnCrawl.blogspot.com/1.0 libwww-perl/5.803|Wells Search II|WEP Search 00

# Option:  failregex
# Notes.:  Regexp to catch known spambots and software alike. Please verify
#          that it is your intent to block IPs which were driven by
#          abovementioned bots.
# Values:  TEXT
#
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*"(?:%(badbots)s|%(badbotscustom)s)"$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

Ich habe mal zum Test versucht, bei den Badbots auch Mozilla bzw. mozilla einzutragen. Dann müsste er ja verhindern, dass ich auf die Seiten zugreife - aber Pustekuchen - nix passierte.

Jetzt ist die Frage, wie kann ich testen, ob dieser Filter überhaupt richtig anspringen würde?

gruß

Sebastian

[d3vnull]

Hallo xseppelx.
Schau mal in deiner jail.conf nach, ob apache-badbots aktiviert sind. Du solltest dort einen Eintrag ähnlich diesem hier finden:

Code: Select all

[apache-badbots]

enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=BadBots, port="http,https"]
           mail[name=BadBots, dest=deine@email.com]
logpath = /var/www/*/logs/access_log
bantime  = 172800
maxretry = 1

Viele Grüße,

d3vnull

[pea]

Habe auch das Problem, dass ein Test - bei mir steht "|Crazy Browser" am Ende der apache-badbots.conf - keine Wirkung zeigt. In der jail.local ist apache-badbots enabled und Iptables zeigt auch die entsprechende Kette an:

Code: Select all

Chain fail2ban-apache-badbots (1 references)
target     prot opt source               destination
RETURN     0    --  0.0.0.0/0            0.0.0.0/0

[oxygen]

Mir stellt sich die Frage was soll der Unsinn? Nach der UserAgent Liste zufolge sperrst du eine ganze Menge potenziell legitime Software aus. Die Kollateralschäden sind größer als ein möglicher Nutzwert.