Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs — too many password failures, seeking for exploits, etc. Generally Fail2Ban is then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, courier, ssh, etc).
http://www.fail2ban.org/wiki/index.php/Main_Page
Pagina 29 di 125
Di seguito le foto che ho fatto al passaggio della Millemiglia all’autodromo di Monza, oggi 17 Maggio 2015.
Attenzione, proseguendo la lettura dell’articolo verranno scaricate molto fotografie. Se avete una tariffa a consumo siete avvisati.
Gli attacchi ad un dispositivo connesso ad internet si dividono in due categorie (10 per i nerd). Gli attacchi perpetrati da chi vuole le risorse del dispositivo e da chi vuole guardarci dentro.
I primi sono perpetrati da sistemi automatici che cercano nella massa, testando le vulnerabilità più diffuse in modo sistematico per sfruttare la vostra connessione, il vostro spazio di archiviazione o la vostra potenza di calcolo. I secondi sono messi in atto per motivi economici, politici o personali per capitalizzare dati sensibili o farvi fare una bella (?) figura.
Molto probabilmente l’unico tipo di attacco con cui vi troverete ad avere a che fare è il primo tipo. Fail2Ban è una risposta reattiva a questo tipo di attacchi. La strategia sottostante è di base questa: se un attacco è condotto da un bot proverà tutte le vulnerabilità più diffuse molto velocemente fino a trovarne una effettivamente esistente sul dispositivo target. Questo pattern è facilmente riconoscibile dall’analisi dei log, un bot difensivo (fail2ban) può riconoscere i primi tre/quattro attacchi che non vanno a buon fine per bannare l’ip sorgente prima che trovi la vulnerabilità che effettivamente c’è (reperibile al decimillesimo tentativo) per un tempo sufficientemente lungo a rendere inefficace l’attacco di forza bruta.
La configurazione di fail2ban va calibrata attentamente per trovare l’equilibrio tra gli errori che si possono generare dalla normale navigazione ed un efficace riconoscimento di questi bot.
Gli obbiettivi che ho scelto di monitorare sono, tra gli altri:
- Richieste di componenti attivi non offerti dal server. Se supporto solo PHP, e tu mi chiedi script asp, perl, cgi, python o altro … c’è qualcosa che non va.
- Richieste di proxy verso altri server. Non esiste, un webserver non è un proxy, se cerchi di sfruttare uno script o un modulo per fare qualcosa di non previsto … sei bannato.
- Autenticazioni http. Se sbagli la password piu di 3 o 4 volte … devi aspettare almeno 10 minuti per riprovare.
- Autenticazioni di webapp. Idem come sopra.
- Richieste di risorse non esistenti. Una url sbagliata capita, magari un link rotto o una pagina indicizzata tempo fà. La richiesta massiva di risorse non esistenti, magari cercando vulnerabilità nel sistema delle virtual directory è un indizio chiaro di attacco.
Alcuni link sono già finiti nel post settimanale automatico originato da delicious. Ci sono delle imperfezioni negli script quindi copiare va bene, ma cercando di capire cosa si copia ;).
Server fatto, sembra (sembra) stare online senza generare fastidi per cui ho iniziato a girare il primo dominio, Redonweb.com che era una alias per questo stesso blog.
Ora quindi viene visualizzata l’installazione di questo blog sul nuovo server. I contenuti sono disallineati di qualche giorno. E c’è qualche “prova”.
I contenuti non possono essere allineati perchè l’installazione per via di limiti di Aruba, che rende inaccessibili i suoi server Mysql all’esterno della propria rete, ne permette agli hosting di usare un server Mariadb esterno.
Ho iniziato a tenere un blog 12 anni fà … e scriverlo fà una certa impressione. L’idea dietro ad un blog era di condividere, pensieri, media, esperienze … internet si è evoluta e c’è un app per condividere i link, un social per le cose da nerd, un flusso per i pensieri brevi, un album per le foto artistiche, e una cerchia per le foto destinate agli amici. E i blog personali sono finiti in secondo piano. Ma credo che l’idea sia ancora sensata.
La sensazione nell’affidare questa cose ad un sistema esterno è che ne perdi completamente il controllo e il possesso. Queste cose sono poco più che rumore sia chiaro, ma è il mio rumore. Vorrei poterlo rileggere anche se 4square chiude. Anche se facebook cambia policy. Vorrei condividerle anche con chi non utilizza queste piattaforme, non tutto, ma alcune cose si.
Quasi tutte queste piattaforme mettono a disposizione delle api per poter leggere in formato strutturato le informazioni che postiamo percui mi è venuto voglia di riutilizzare il blog come repository delle mie cose inrilevanti grazie ad una manciata di programmi adibiti allo scopo.
Il primo obbiettivo è Delicious, che già importo mediante yahoo pipes e un plugin di wordpress. L’importatore self-made migliorerà la frequenza e sarà in grado di trasformare i tag di Delicious in tag di WordPress.
A seguire: twitter, 4square e instagram.
P.S. : Per seguire lo stato dei lavori https://bitbucket.org/sgalliani/socialimporter – Binari, Readme, Buildfile, Howto e similia saranno disponibili solo se e quando il progetto avrà un livello minimo di maturità.