Fail2ban on Karpoke - Just Another Blog

Acceder al panel de control de Wordpress tras haber sido baneado

Wed, 20 Apr 2011 01:46:00 +0100

De forma similar a fail2ban para ssh, existe un complemento para Wordpress, Login LockDown, que controla el número de intentos de acceso al panel de control, y si se falla en 3 intentos, banea dicha IP durante una hora. Estos parámetros, y alguno más, son configurables desde la página de configuración del complemento.

El problema es que si compartimos la misma IP pública con más gente, ya sea porque estamos en un lugar público o en casa de unos amigos, y alguien en esta misma red realiza más intentos de los permitidos, también nosotros quedamos baneados.

Detectando intrusos en Ubuntu Maverick Meerkat

Mon, 07 Mar 2011 22:11:00 +0100

Un artículo para tener en cuenta algunas de las acciones que podemos llevar a cabo para securizar Ubuntu Maverick Meerkat. Algunos programas para facilitar la tarea de controlar los intentos de acceso al sistema:

ufw

ufw es una forma sencilla de manejar un cortafuegos. Nada más instalarlo, lo habilitamos:

$ sudo ufw enable

Damos de alta los servicios^1^ que queremos que estén disponibles:

$ sudo ufw allow http
$ sudo ufw allow https
$ sudo ufw allow 1234

Si queremos deshacer alguna de estas acciones, por ejemplo, eliminar la regla para el puerto 1234:

w00t w00t

Mon, 17 Jan 2011 04:18:00 +0100

Si revisamos los logs del servidor web, de vez en cuando aparecen toda una serie de peticiones del tipo:

193.108.81.203 - - [12/Jan/2011:16:48:31 +0100] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 488 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:34 +0100] "GET /db/scripts/setup.php HTTP/1.1" 404 471 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:35 +0100] "GET /mysql/scripts/setup.php HTTP/1.1" 404 473 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:35 +0100] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:38 +0100] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 477 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:38 +0100] "GET /pma/scripts/setup.php HTTP/1.1" 404 472 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 480 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] "GET /web/scripts/setup.php HTTP/1.1" 404 472 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:39 +0100] "GET /websql/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] "GET /webadmin/scripts/setup.php HTTP/1.1" 404 476 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] "GET /sqlweb/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"
193.108.81.203 - - [12/Jan/2011:16:48:40 +0100] "GET /websql/scripts/setup.php HTTP/1.1" 404 474 "-" "ZmEu"

En este caso, la IP parece ser del Reino Unido, pero va variando, así como la petición característica que hace al principio y el user agent del final, “Zemu”. En otras ocasiones, la petición es /w00tw00t.at.ISC.SANS.DFind:).