Depuis une semaine, mon serveur subit des attaques Brute Force contre mes sites WordPress. J’ai donc mis en place une jail wordpress dans fail2ban afin de bloquer les IP. Comme l’attaque est plutôt agressive (des dizaines de serveurs qui tentent de trouver le mot de passe d’un ou plusieurs noms d’utilisateurs sur plusieurs sites), la règle habituelle qui propose de bloquer une IP après trois tentative négative n’est pas efficace. En effet, ces tentatives sont si nombreux, que si on multiplie ça par trois avant de bloquer, ça laisse pas mal de tentatives, et de charge réseau. D’autre part, ces botnets sont tenaces. Un ban de 15 minutes ne va pas servir à grand chose.
J’ai donc décidé de faire le grand saut, et j’ai paramétré fail2ban pour être lui aussi très agressif: Bannissement à la première erreur de login, et ce, pour une semaine. Résultat: Mon serveur est de nouveau sur pied (les tentatives et les contre-attaques saturaient mon serveur le week-end dernier).
Le risque par contre est de me bannir moi-même si j’entre le mauvais mot de passe dans wordpress. Pas droit à l’erreur… Malheureusement, ça m’est arrivé aujour’hui. Pas très grave, je me connecte au serveur, et là, j’essaie la commande que l’on retrouve un peu partout, et qui est également indiqué dans la doc:
sudo fail2ban-client get wordpress actionunban xxx.xxx.xxx.xxx
Dans l’os Carlos !
ERROR NOK: ('Invalid Action name',)
'Invalid Action name'
Je me replonge dans mes recherches, parce que là, c’est la galère ! Certains proposent de retirer la règle de iptables, simplement. Oui mais non, car fail2ban tient un journal, et en cas de redémarrage du service, l’adresse sera ne nouveau bannie. Heureusement, après quelques recherches, je tombe sur un article de Shangaï-Hosting qui nous donne la solution. Merci à eux:
sudo fail2ban-client set wordpress unbanip xxx.xxx.xxx.xxx