Bad Bots

[Alexander]

Beim Lesen der vorangegangen Beiträge konnte man den Eindruck gewinnen, das Fail2Ban/Wordpress-Plugins auf magische Weise alle Sicherheitsrelevanten Themen abdecken und man sich damit in Sicherheit wiegen kann.
Ich wollte mit meinem Beitrag lediglich darauf hinweisen, das es eben damit nicht getan ist und das man zusätzlich auch ein Auge auf die Plugins haben solle.

Ich bin absolut für den Einsatz von Fail2Ban - unter anderem auch aus dem von dir genannten Grund!

[goldene-zeiten]

Noch eine Frage zum access.log. Dieses liegt ja im Ordner des jeweiligen Benutzers und dort auch wieder unter der jeweiligen Domain. Wie kann ich denn dann fail2ban anweisen, dort zu suchen? Mit * beim Benutzer und der Domain?

so?
/home/users/*/logs/*/access.log

für z.b diese filter-anweisung:
[Definition]
failregex = ^<HOST> .* "POST /wp-login.php .* 200 \d* "https?://.*"$

[goldene-zeiten]

Es gibt bei TYPO3 folgende Einstellungsmöglichkeiten direkt:
https://docs.typo3.org/m/typo3/referenc ... nratelimit

Aber sehr gerne würde ich parallel dazu noch mit fail2ban absichern. Sicher ist sicher. Vor allem, weil fail2ban dann auch direkt die IP sperrt. Ein Weltklasse-System ist Weltklasse, aber man kann es ja trotzdem noch zusätzlich unterstützen.

[pandinusimperator]

Moin!

Zu WP und Fail2Ban: Ich kann mich ja täuschen, aber sperrt diese RegExp

[Definition]
failregex = ^<HOST> .* "POST /wp-login.php .* 200 \d* "https?://.*"$

nicht auch die User aus, die sich regulär eingeloggt haben, also wenn sie sich "maxretry"-Mal erfolgreich einloggen? Würde ich so nicht wollen.

Was bei mir funktioniert:
Ein PHP-Snippet in WordPress, das die fehlerhaften Logins ins error.log schreibt:

Code: Select all

function log_wp_login_fail($username) {
        error_log("WP login failed for username: $username");
}
add_action('wp_login_failed', 'log_wp_login_fail');

, das man zum Beispiel über das Plugin WPCode oder direkt in die functions.php einfügen kann. Hier muss die Funktion error_log in den Keyhelp-PHP-Einstellungen zugelassen werden. Dann eine

wp-login.conf in /etc/fail2ban/filter.d mit zum Beispiel

Code: Select all

[Definition]
failregex = .*remote <HOST>.* WP login failed.*
ignoreregex =

(ja, nicht so ausgefeilt, funktioniert aber), hier in den Logs schauen, ob "remote" oder "client" geloggt wird, dann ggf. anpassen, und schließlich ein Jail

Code: Select all

[wp-login]
enabled  = true
filter   = wp-login
action   = iptables-multiport[name=wp-login, port="http,https"]
logpath  = /home/users/*/logs/*/error.log
bantime  = 720
findtime = 600
maxretry = 5

So sperrt man nur die fehlerhaften Logins aus. Beim Einsatz mit WordFence darauf achten, dass auf "Use PHP's built in REMOTE_ADDR and don't use anything else. Very secure if this is compatible with your site." in den "General Options" umgestellt wird.

Dieser Filter ist aber nur gut für Brute-Force-Attacken auf das normale Login. Wir gesagt: bei mir funktioniert es, aber keine Gewährleistung...

BTW: WordPress hat sich in Punkto Sicherheit sehr verbessert. Das Problem sind vernachlässigte Plugins oder Instanzen.

Gruß,
pandinus

[goldene-zeiten]

Sehr tolle Anleitung - vielen lieben Dank!

Den Code habe ich mit WPCode eingebunden - klappt. Auch die Einträge im error.log werden geschrieben. Passt auch soweit.

Der Filter scheint auch zu gehen - aber das Jail schlägt nicht an nach den 5 Fehleingaben. Es wird weiter protokolliert und es scheint dann die Maske von WordFence zu kommen. So weit sollte die es aber gar nicht erst kommen, weil zuvor schon die Sperre für WordPress via fail2ban greifen sollte...

[tab-kh]

Man kann m.E. durchaus einfach die Anmeldungen zählen, wenn man dann die findtime passend niedrig einstellt. 200 Anmeldeversuche in z.B. 5 Minuten finde ich dann doch auch etwas verdächtig und nicht unbedingt gewollt. Auch wenn sie alle erfolgreich sein sollten, was sie in so einem Fall aber sehr wahrscheinlich nicht sind.

Da mag es allerdings Ausnahmen geben, auch wenn mir gerade keine einfällt.

[goldene-zeiten]

Aus irgendeinem Grund kommt es bei mir zu keiner Sperre. Und auch der Fall, dass die wp-login.php aufgerufen wird und es dann zu einem 503 Fehler kommt, sehe ich bei WordPress im Log.

[goldene-zeiten]

Also wenn ich direkt auf dem Formular das Kennwort nun 3x falsch eingebe, schlägt der Filter zu. Deine Beschreibung hat geklappt - das Thema ist durch !

Nun muss ich aber noch beobachten, wie ich die 503 von den Bots raus bekomme, die ja scheinbar WordFence generiert oder von WordPress direkt sind. Da steige ich noch nicht ganz durch.

[pandinusimperator]

Sehr tolle Anleitung - vielen lieben Dank!

Den Code habe ich mit WPCode eingebunden - klappt. Auch die Einträge im error.log werden geschrieben. Passt auch soweit.

Der Filter scheint auch zu gehen - aber das Jail schlägt nicht an nach den 5 Fehleingaben. Es wird weiter protokolliert und es scheint dann die Maske von WordFence zu kommen. So weit sollte die es aber gar nicht erst kommen, weil zuvor schon die Sperre für WordPress via fail2ban greifen sollte...

Ist denn WordFence in den Einstellungen nicht höher eingestellt? Wenn die Maske kommt, ist es zu spät. Ich habe die Loginversuche auf 10 und F2B auf 5, im Log steht auch Ban. Und in KH wird mir das Jail mit den gesperrten IPs angezeigt.

(Hab ich schon erwähnt, wie sehr ich dieses Keyhelp liebe? Nein? Dann hier ein Danke an die Entwickler! Ein dickes!)

[pandinusimperator]

Also wenn ich direkt auf dem Formular das Kennwort nun 3x falsch eingebe, schlägt der Filter zu. Deine Beschreibung hat geklappt - das Thema ist durch !

Uff, Notiz für mich: Immer erst alle Posts lesen.

Freut mich, wenn es klappt.

[goldene-zeiten]

Sehr tolle Anleitung - vielen lieben Dank!

Den Code habe ich mit WPCode eingebunden - klappt. Auch die Einträge im error.log werden geschrieben. Passt auch soweit.

Der Filter scheint auch zu gehen - aber das Jail schlägt nicht an nach den 5 Fehleingaben. Es wird weiter protokolliert und es scheint dann die Maske von WordFence zu kommen. So weit sollte die es aber gar nicht erst kommen, weil zuvor schon die Sperre für WordPress via fail2ban greifen sollte...

Ist denn WordFence in den Einstellungen nicht höher eingestellt? Wenn die Maske kommt, ist es zu spät. Ich habe die Loginversuche auf 10 und F2B auf 5, im Log steht auch Ban. Und in KH wird mir das Jail mit den gesperrten IPs angezeigt.

(Hab ich schon erwähnt, wie sehr ich dieses Keyhelp liebe? Nein? Dann hier ein Danke an die Entwickler! Ein dickes!)

Auch mein grosses Lob geht an die Entwickler. Ich bin auch sehr zufrieden damit und freue mich auch, dass ich in einer Übersicht in der Admin Oberfläche alle Mails mir ansehen kann.

Das habe ich so eingestellt. Das Plugin sollte erst bei 10 versuchen reagieren und die Firewall schon bei 5. Aber irgendwie Haut es eben trotzdem nicht hin. Ich vermute, dass das datencen die einfach so von WordFencs eingespeichert werden?

[pandinusimperator]

Das habe ich so eingestellt. Das Plugin sollte erst bei 10 versuchen reagieren und die Firewall schon bei 5. Aber irgendwie Haut es eben trotzdem nicht hin. Ich vermute, dass das datencen die einfach so von WordFencs eingespeichert werden?

Ähm ... funktioniert es jetzt oder nicht? Bei mir wird anstandslos gebannt.

Beachte, dass ggf. das Login mit AJAX durchgeführt wird, dann sieht man das bei dem Login-Formular nur an der anderen Fehlermeldung ("Fehler aufgetreten" statt "Login inkorrekt" o.a.), das irritiert ein bisschen, weil das Formular immer angezeigt wird. Blockiert wird dennoch.

WP Hide Login (Plugin um das Login auf eine andere URL zu legen) und die Blockierung der xmlrpc.php (falls man die nicht braucht) über WordFence oder .htaccess sind auch zuverlässige und zusätzliche Mittel.

[goldene-zeiten]

Was die reine formulareingabe betrifft, konnte ich das Problem für TYPO3 und WordPress beheben. Allerdings kommt mir eben komisch vor, dass ich in meiner detailansicht ein Backend zu wenig Login versuche sehe. Einerseits erfreulich, andererseits vielleicht auch alle trügerische Sicherheit. Bei TYPO3 habe ich keinen einzigen externen unerlaubten, Login versucht. Bei WordPress eben sehr. Viele 500 Dreier über das Plugin Word Fence. Aber ich glaube mittlerweile, dass diese live Ansicht einfach ganz pauschal die IPs anzeigt, die in dem Netzwerk der Benutzer geblockt worden ist. Denn wenn ich in mein access Locg reinschaue, kann ich einfach nicht diese Unmenge von Zugriffen finden, wie sie dort mit 503 und ähnlichen dokumentiert werden. Das ist ja genau der Punkt, der mich so stutzig macht. Den Protokoll für die errors und für access tauchen die Sachen einfach nicht auf. Vielleicht deute ich ja auch die Ausgaben von dem Plugin falsch.

[goldene-zeiten]

Heute hat WordFence eine Attacke abgewehrt. Deswegen kann doch noch immer etwas nicht mit Fail2ban zu stimmen?
--
Diese E-Mail wurde von Ihrer Website "Verlobung & Hochzeit" durch das Wordfence-Plugin am Montag, 12. August 2024 um 14:38:54 Uhr gesendet.
Die Wordfence-Verwaltungs-URL für diese Site lautet: https://www.verlobung-und-hochzeit.info ... =Wordfence
Einem Benutzer mit der IP-Adresse 165.22.58.178 wurde die Anmeldung oder die Verwendung des Formulars zur Kennwortwiederherstellung aus folgendem Grund verweigert: Beim Anmeldeversuch wurde der ungültige Benutzername „wadminw“ verwendet.
Die Dauer der Sperre beträgt 1 Tag.
Benutzer-IP: 165.22.58.178
Benutzer-Hostname: 165.22.58.178
Benutzerstandort: Singapur, Singapur
--

[pandinusimperator]

Heute hat WordFence eine Attacke abgewehrt. Deswegen kann doch noch immer etwas nicht mit Fail2ban zu stimmen?
--
Diese E-Mail wurde von Ihrer Website "Verlobung & Hochzeit" durch das Wordfence-Plugin am Montag, 12. August 2024 um 14:38:54 Uhr gesendet.
Die Wordfence-Verwaltungs-URL für diese Site lautet: https://www.verlobung-und-hochzeit.info ... =Wordfence
Einem Benutzer mit der IP-Adresse 165.22.58.178 wurde die Anmeldung oder die Verwendung des Formulars zur Kennwortwiederherstellung aus folgendem Grund verweigert: Beim Anmeldeversuch wurde der ungültige Benutzername „wadminw“ verwendet.
Die Dauer der Sperre beträgt 1 Tag.
Benutzer-IP: 165.22.58.178
Benutzer-Hostname: 165.22.58.178
Benutzerstandort: Singapur, Singapur
--

Da ist vielleicht bei WordFence

Immediately lock out invalid usernames

bei den Brute Force Protection Einstellungen aktiviert oder der wurde schon mal bei

Immediately block the IP of users who try to sign in as these usernames

eingegeben. Dann sperrt WordFence sofort.