> Fail2ban kann das jedenfalls auch selbständig durch entsprechend konfigurierte Logfile-Analyse. Ein Kompromiss wäre, dass die Anwendung ein Audit-Log oder ähnliches führt, das dann vom Fail2ban ausgewertet wird. Einfach das error-Log missbrauchen: ~~~php <?php error_log ("mutmasslicher angriff:sql-injection"); ~~~ Resultierender Eintrag: ~~~log [Sat Apr 14 12:44:12.611511 2018] [:error] [pid 25477] [client 77.178.32.244:34114] mutmasslicher angriff:sql-injection, referer: https://home.fastix.org/Tests/ ~~~ Der passende Regex für apache-overflows.conf wäre dann wie folgt hinzuzufügen: (ungetestet) ~~~ini failregex = ^%(_apache_error_client)s ((AH0013[456]: )[…] ^%(_apache_error_client)s .*mutmasslicher angriff.*$ ~~~ Außerdem ist apache-overflows in der jail.conf zu aktivieren und das Limit für die Duldung recht gering anzusetzen: ~~~ini [apache-overflows] enabled = true port = 0:65535 # während der Testphase: # port = http,https logpath = %(apache_error_log)s maxretry = 1 bantime = 36000 ~~~

> Fail2ban kann das jedenfalls auch selbständig durch entsprechend konfigurierte Logfile-Analyse. Ein Kompromiss wäre, dass die Anwendung ein Audit-Log oder ähnliches führt, das dann vom Fail2ban ausgewertet wird. Einfach das error-Log missbrauchen: ~~~php <?php error_log ("mutmasslicher angriff:sql-injection"); ~~~ Resultiereder Eintrag: ~~~log [Sat Apr 14 12:44:12.611511 2018] [:error] [pid 25477] [client 77.178.32.244:34114] mutmasslicher angriff:sql-injection, referer: https://home.fastix.org/Tests/ ~~~ Der passende Regex für apache-overflows.conf wäre dann wie folgt hinzuzufügen: (ungetestet) ~~~ini failregex = ^%(_apache_error_client)s ((AH0013[456]: )[…] ^%(_apache_error_client)s .*mutmasslicher angriff.*$ ~~~ Außerdem ist apache-overflows in der jail.conf zu aktivieren und das Limit für die Duldung recht gering anzusetzen: ~~~ini [apache-overflows] enabled = true port = 0:65535 # während der Testphase: # port = http,https logpath = %(apache_error_log)s maxretry = 1 bantime = 36000 ~~~

> Fail2ban kann das jedenfalls auch selbständig durch entsprechend konfigurierte Logfile-Analyse. Ein Kompromiss wäre, dass die Anwendung ein Audit-Log oder ähnliches führt, das dann vom Fail2ban ausgewertet wird. Einfach das error-Log missbrauchen: ~~~php <?php error_log ("mutmasslicher angriff:sql-injection"); ~~~ Resultiereder Eintrag: ~~~log [Sat Apr 14 12:44:12.611511 2018] [:error] [pid 25477] [client 77.178.32.244:34114] mutmasslicher angriff:sql-injection, referer: https://home.fastix.org/Tests/ ~~~ Der passende Regex für apache-overflows.conf wäre dann wie folgt hinzuzufügen: (ungetestet) ~~~ini failregex = ^%(_apache_error_client)s ((AH0013[456]: )[…] ^%(_apache_error_client)s .*mutmasslicher angriff.*$ ~~~ Außerdem ist apache-overflows in der jail.conf zu aktivieren und das Limit für die Duldung recht gering anzusetzen: ~~~ini [apache-overflows] enabled = true port = 0:65535 # während der Testphase: # port = http,https logpath = %(apache_error_log)s maxretry = 1 bantime = 36000 ~~~

> Fail2ban kann das jedenfalls auch selbständig durch entsprechend konfigurierte Logfile-Analyse. Ein Kompromiss wäre, dass die Anwendung ein Audit-Log oder ähnliches führt, das dann vom Fail2ban ausgewertet wird. Einfach das error-Log missbrauchen: ~~~php <?php error_log ("mutmasslicher angriff:sql-injection"); ~~~ Resultiereder Eintrag: ~~~log [Sat Apr 14 12:44:12.611511 2018] [:error] [pid 25477] [client 77.178.32.244:34114] mutmasslicher angriff:sql-injection, referer: https://home.fastix.org/Tests/ ~~~ Der passende Regex für apache-overflows.conf wäre dann wie folgt hinzuzufügen: (ungetestet) ~~~ini failregex = ^%(_apache_error_client)s ((AH0013[456]: )[…] ^%(_apache_error_client)s .*mutmasslicher angriff.*$ ~~~ Außerdem ist apache-overflows in der jail.conf zu aktivieren und das Limit für die Duldung recht gering anzusetzen: ~~~ini [apache-overflows] enabled = true port = 0:65535 logpath = %(apache_error_log)s maxretry = 1 bantime = 36000 ~~~

> Fail2ban kann das jedenfalls auch selbständig durch entsprechend konfigurierte Logfile-Analyse. Ein Kompromiss wäre, dass die Anwendung ein Audit-Log oder ähnliches führt, das dann vom Fail2ban ausgewertet wird. Einfach das error-Log missbrauchen: ~~~php <?php error_log ("mutmasslicher angriff:sql-injection"); ~~~ Resultiereder Eintrag: ~~~log [Sat Apr 14 12:44:12.611511 2018] [:error] [pid 25477] [client 77.178.32.244:34114] mutmasslicher angriff:sql-injection, referer: https://home.fastix.org/Tests/ ~~~ Der passende Regex für apache-overflows.conf wäre dann wie folgt hinzuzufügen: (ungetestet) ~~~ini failregex = ^%(_apache_error_client)s ((AH0013[456]: )[…] ^%(_apache_error_client)s .*mutmasslicher angriff.*$ ~~~ Außerdem ist apache-overflows in der jail.conf zu aktivieren und das Limit für die Duldung recht gering anzusetzen: ~~~ini [apache-overflows] enabled = true port = http,https logpath = %(apache_error_log)s maxretry = 1 bantime = 36000 ~~~