misterunknown: fail2ban: User-Regeln für Apache

Beitrag lesen

Moin,

seit einiger Zeit steht mein vServer immer wieder unter Beschuss. Irgendwelche Bots versuchen mit irgendwelchen Zugangsdaten sowohl per SSH Zugriff zu erhalten als auch Zugriff auf Webseiten durch probieren bekannter URLs. Zur Abwehr solcher Angriffe habe ich fail2ban laufen, ein Service der die Log-Dateien durchforstet, Angriffe erkennt und die entsprechenden IPs bannt.
Allerdings wird im Bezug auf den Apache nur die Datei "error.log" ausgewertet. Das ergibt erstmal Sinn, denn normale Zugriffe sind ja ok. Es gibt aber auch Szenarios, in denen _kein_ Eintrag im Error-Log auftaucht, sondern nur im Access-Log. Ich habe beispielsweise ein Wiki laufen, welches immer wieder Ziel von Angriffen wird, indem mit fiktiven Auth-Tokens versucht wird Zugang zu erhalten; in diesem Fall wird kein Eintrag im Error- sondern im Access-Log erzeugt.
Ich könnte jetzt selbst für jeden Fall der mir auffällt eine Jail-Definition schreiben, aber ich dachte vielleicht hat jemand von euch schon etwas ähnliches im Einsatz.

Meine Frage wäre also: Habt ihr selbst definierte Jails für fail2ban? Und wenn ja, würdet ihr die zur Verfügung stellen?

Grüße Marco

--
Ich spreche Spaghetticode - fließend.