Angriffe auf TYPO3-Login mit fail2ban blocken
Seit Mitte Januar 2017 tauchen in meinen Logfiles vermehrt Angriffe auf TYPO3 Websites auf, bei denen versucht wird, Backendzugriff über Standard Benutzernamen zu erhalten. Dazu gehören bspw. „admin“, „admin123“ oder „test“.
Wenn man in der TYPO3-Konfiguration in $TYPO3_CONF_VARS['BE']['warning_email_addr']
eine Emailadresse hinterlegt hat, wird man über diese Ereignisse in Mails mit dem Betreff „TYPO3 Login Failure Warning (at SITENAME)“ informiert.
Diese Angriffe lassen sich mit dem Tool fail2ban blockieren. Dabei wird nach (in unserem Fall) 2 Fehlversuchen die IP-Adresse des Angreifers auf der Firewall gesperrt.
/etc/fail2ban/filter.d/apache-typo3.conf
[INCLUDES] before = apache-common.conf [Definition] failregex = ^.*"POST /typo3/index.php\?loginProvider= HTTP/1.1" 200 ^.*"POST /typo3/index.php HTTP/1.1" ignoreregex =
/etc/fail2ban/jail.conf
... [apache-typo3] enabled = true port = http,https filter = apache-typo3 protocol = tcp logpath = /var/log/apache*/*access.log maxretry = 2 findtime = 60 ...
Diese Regel besagt, daß man nur zwei Fehlversuche innerhalb einer Minute haben darf. Danach wird die IP-Adresse für zehn Minuten gesperrt.
Vor dem Aktivieren kann man Testen, ob der reguläre Ausdruck in „failregex“ greift:
$ fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-typo3.conf
Kommentieren Sie den Beitrag