Fail2ban Nell’Ultima Versione Plesk: Addio Bruteforce?

Qualche tempo fa abbiamo scritto un articolo sugli attacchi bruteforce su WordPress che avvengono tamite protocollo XML-RPC.

Nell’ultimissima versione di Plesk, la 12, abbiamo scoperto con grande sorpresa che è stato finalmente integrato Fail2ban; ebbene si: il più diffuso sistema di gestione Hosting si è dotato di un importantissimo strumento di monitoraggio per far fronte ad una serie di attacchi bruteforce e a tentativi di accesso non autorizzati.

Che sia la risposta definitiva al problema degli attacchi generati dal bug nel protocollo XML-RPC di WordPress?

Vediamo 🙂

Fail2ban è un sistema che consente di monitorare determinati servizi di un Server, come Web, E-mail, FTP, SSH e in generale buona parte dei servizi che vengono installati sui server che vengono utilizzati per il webhosting.

Come funziona Fail2ban?

Questo sistema legge i log dei servizi, li analizza e li filtra aggiungendo in automatico una regola all’interno del firewall di Linux (iptables) bloccando l’indirizzo IP dell’attacker e scrivendo inoltre un file di log per documentare l’avvenuto blocco.

ESEMPIO:

Sever di posta elettronica che gestisce 500 domini e 2.000 caselle e-mail:

un indirizzo IP prova a forzare l’accesso randomicamente con migliaia di combinazioni di login e password.

Fail2ban, se opportunamente configurato per monitorare il server di posta elettronica, blocca l’indirizzo IP automaticamente dopo una serie di tentativi falliti.
Infatti è a discrezione dell’amministratore di sistema indicare sostanzialmente:

  1. Numero massimo di tentativi falliti
  2. Lasso di tempo in cui un determinato IP ha tentato gli accessi
  3. Tempo di blocco

In buona sostanza Fail2ban monitora, aggiunge ed elimina regole dal firewall automaticamente

Potete quindi immaginare come diventa difficile, per il cracker, accedere abusivamente ad un sistema con l’utilizzo di Fail2ban. 😉

Naturalmente la stessa logica viene applicata anche ad altri servizi, come Web, FTP e SSH.

Per i siti web il discorso è ancora piu fico (si, perchè è davvero fico):

definita una regola (es: un indirizzo IP può accedere ad una pagina non piu di 10 volte nell’arco di 30 secondi) capirete che sarà molto pià facile mitigare, se non eliminare del tutto i tanto temuti attacchi bruteforce sui vostri siti web.

Inoltre si possono bloccare i robots (o automi): non parliamo di spider “normali”, ma di robot che non scansionano il sito per indicizzarlo, ma provano decine e decine di path (URL) per tentare di capire quale CMS è stato utilizzato e, eventualmente, tentare di “bucarlo”.

Stessa cosa vale per gli spider che tentano di entrare all’interno del pannello di controllo di un sito; la protezione della GUI di amministrazione è utile ed estremamente importante.
Con Fail2ban possiamo infatti bloccare automaticamente i “furbacchioni” che cercano di bucarci il sito provando migliaia di volte ad entrare su /wp-admin (con WordPress) o /administrator (con Joomla).
Parliamoci chiaramente: molti Webmaster “badano poco” (ahinoi!) alla sicurezza dei siti web, e Fail2ban fornisce un’ottima soluzione, a livello di sistema, a tutti questi problemi.

Che dire: finalmente! 🙂

Rispondi all'articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *