opencart DDoS centenas de acessos na pasta /admin

magico
(usa GoblinX)

Enviado em 28/08/2022 - 17:22h

Estou recebendo centenas de acessos na pasta /admin.

Todos acessos são assim:

:443 178.32.254.131 - - [28/Aug/2022:17:20:49 -0300] "POST /admin/ HTTP/1.1" 403 4944 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0" 

Gostaria de colocar no fail2ban, para quando alguém tentar acessar /admin o iptables congelar o IP.

Obs: Site roda em um servidor rápido no Brasil, não quero usar cloudflare.

Alguma dica ?

leandropscardua
(usa Ubuntu)

Enviado em 28/08/2022 - 21:11h

Aqui no vol tem um artiho bem direto e sucinto
https://www.vivaolinux.com.br/artigo/Fail2ban-no-Debian-Instalacao-e-Configuracao#:~:text=O%20Fail2b....

magico
(usa GoblinX)

Enviado em 29/08/2022 - 15:34h

Infelizmente neste artigo não ensina como fazer a expressão.

Eu mudei o nome da pasta, mesmo assim nos logs ficam direto tentando acessar a pasta /admin que não existe.

Gostaria de banir todo ip que acessar o /admin do site, através do fail2ban.

leandropscardua
(usa Ubuntu)

Enviado em 29/08/2022 - 17:46h

Talvez nesse contexto um firewall de aplicação seja mais adequado. O fail2ban trata mais de serviço. No caso do apache tem o modsecuriry
https://www.loadbalancer.org/blog/brute-force-login-modsecurity-waf/

magico
(usa GoblinX)

Enviado em 29/08/2022 - 17:57h

Será que o modsecurity realmente bloqueia ?

Precisava que quando a expressão for /admin já bloqueava o IP.

magico
(usa GoblinX)

Enviado em 29/08/2022 - 18:34h

Fiz uns testes com modsecurity e outro addons juntos.

Ele não bloqueia os BOTS, nos logs.

Preciso eliminar ele dos logs, a única maneira é o iptables negar o IP através do fail2ban ou outro programa similar.

pereiracesa1992
(usa Debian)

Enviado em 29/08/2022 - 19:36h

Só um detalhe! Pode ser boba a minha pergunta! Esta recebendo ataques de um IP especifico ou de IPs de todo o mundo?

magico
(usa GoblinX)

Enviado em 29/08/2022 - 20:16h

de todo mundo.

pereiracesa1992
(usa Debian)

Enviado em 30/08/2022 - 07:43h

Já tentou fazer um bloqueio de todas as portas e só deixar direcionada a porta que precisa ser acessível

magico
(usa GoblinX)

Enviado em 30/08/2022 - 10:12h

sim.
Porém ele acessa pela 443 (Não posso bloquear).

pereiracesa1992
(usa Debian)

Enviado em 30/08/2022 - 16:09h

Seguir todo registro de IP do Brasil. Pode fazer um filtro liberando os IPs brasieiros e bloqueava os IPs fora do Brasil. Sera que o Registro Br libera este blocos de IP.
Isso é um ideia que tive agora.kkk

magico
(usa GoblinX)

Enviado em 11/09/2022 - 15:41h

Se tiver como restringir somente esta pasta estava bom...

Ainda não encontrei uma solução 100% eficaz.

Preciso de algo simples, quando alguém acessa a pasta /admin, gostarai que o fail2ban bloquea-se o ip.