Depuis une semaine, mon serveur subit des attaques Brute Force contre mes sites WordPress. J’ai donc mis en place une jail wordpress dans fail2ban afin de bloquer les IP. Comme l’attaque est plut\u00f4t agressive (des dizaines de serveurs qui tentent de trouver le mot de passe d’un ou plusieurs noms d’utilisateurs sur plusieurs sites), la r\u00e8gle habituelle qui propose de bloquer une IP apr\u00e8s trois tentative n\u00e9gative n’est pas efficace. En effet, ces tentatives sont si nombreux, que si on multiplie \u00e7a par trois avant de bloquer, \u00e7a laisse pas mal de tentatives, et de charge r\u00e9seau. D’autre part, ces botnets sont tenaces. Un ban de 15 minutes ne va pas servir \u00e0 grand chose.<\/p>\n
J’ai donc d\u00e9cid\u00e9 de faire le grand saut, et j’ai param\u00e9tr\u00e9 fail2ban pour \u00eatre lui aussi tr\u00e8s agressif: Bannissement \u00e0 la premi\u00e8re erreur de login, et ce, pour une semaine. R\u00e9sultat: Mon serveur est de nouveau sur pied (les tentatives et les contre-attaques saturaient mon serveur le week-end dernier).<\/p>\n
Le risque par contre est de me bannir moi-m\u00eame si j’entre le mauvais mot de passe dans wordpress. Pas droit \u00e0 l’erreur… Malheureusement, \u00e7a m’est arriv\u00e9 aujour’hui. Pas tr\u00e8s grave, je me connecte au serveur, et l\u00e0, j’essaie la commande que l’on retrouve un peu partout, et qui est \u00e9galement indiqu\u00e9 dans la doc:<\/p>\n
sudo fail2ban-client get wordpress actionunban xxx.xxx.xxx.xxx<\/pre>\nDans l’os Carlos !<\/p>\n
\r\nERROR NOK: ('Invalid Action name',)\r\n'Invalid Action name'\r\n<\/pre>\nJe me replonge dans mes recherches, parce que l\u00e0, c’est la gal\u00e8re ! Certains proposent de retirer la r\u00e8gle de iptables, simplement. Oui mais non, car fail2ban tient un journal, et en cas de red\u00e9marrage du service, l’adresse sera ne nouveau bannie. Heureusement, apr\u00e8s quelques recherches, je tombe sur un article de Shanga\u00ef-Hosting qui nous donne la solution. Merci \u00e0 eux:<\/p>\n
\r\nsudo fail2ban-client set wordpress unbanip xxx.xxx.xxx.xxx\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"Depuis une semaine, mon serveur subit des attaques Brute Force contre mes sites WordPress. J’ai donc mis en place une jail wordpress dans fail2ban afin de bloquer les IP. Comme l’attaque est plut\u00f4t agressive (des dizaines de serveurs qui tentent de trouver le mot de passe d’un ou plusieurs noms d’utilisateurs sur plusieurs sites), la […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[220],"tags":[206,205,63,207],"jetpack_sharing_enabled":true,"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/posts\/1028"}],"collection":[{"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/comments?post=1028"}],"version-history":[{"count":3,"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/posts\/1028\/revisions"}],"predecessor-version":[{"id":1101,"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/posts\/1028\/revisions\/1101"}],"wp:attachment":[{"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/media?parent=1028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/categories?post=1028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/akim.sissaoui.com\/en\/wp-json\/wp\/v2\/tags?post=1028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}