Angriffe auf TYPO3-Login mit fail2ban blocken

Seit Mitte Januar 2017 tauchen in meinen Logfiles vermehrt Angriffe auf TYPO3 Websites auf, bei denen versucht wird, Backendzugriff über Standard Benutzernamen zu erhalten. Dazu gehören bspw. „admin“, „admin123“ oder „test“.

Wenn man in der TYPO3-Konfiguration in $TYPO3_CONF_VARS['BE']['warning_email_addr'] eine Emailadresse hinterlegt hat, wird man über diese Ereignisse in Mails mit dem Betreff „TYPO3 Login Failure Warning (at SITENAME)“ informiert.

Diese Angriffe lassen sich mit dem Tool fail2ban blockieren. Dabei wird nach (in unserem Fall) 2 Fehlversuchen die IP-Adresse des Angreifers auf der Firewall gesperrt.

/etc/fail2ban/filter.d/apache-typo3.conf

[INCLUDES]
before = apache-common.conf

[Definition]
failregex = ^.*"POST /typo3/index.php\?loginProvider= HTTP/1.1" 200
            ^.*"POST /typo3/index.php HTTP/1.1"
ignoreregex = 

/etc/fail2ban/jail.conf

...
[apache-typo3]
enabled  = true
port     = http,https
filter   = apache-typo3
protocol = tcp
logpath  = /var/log/apache*/*access.log
maxretry = 2
findtime = 60
...

Diese Regel besagt, daß man nur zwei Fehlversuche innerhalb einer Minute haben darf. Danach wird die IP-Adresse für zehn Minuten gesperrt.

Vor dem Aktivieren kann man Testen, ob der reguläre Ausdruck in „failregex“ greift:

$ fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-typo3.conf
Verwendete Schlagwörter: , ,

Kommentieren Sie den Beitrag

Bitte geben Sie Ihren Namen und Ihre Email-Adresse an. Der Name wird auf der Website veröffentlicht, die Email-Adresse nicht. Wir verwenden diese intern, um Spam zu identifizieren.

Captcha loading...