japarisid Posted January 28, 2013 Share Posted January 28, 2013 Hola, Quisiera saber si existe alguna herramienta o forma de saber cuando alguien accede al backoffice de la tienda e intenta logearse. De forma que a los 3 intentos o algo así se me avise de que esto ha sucedido y la IP del atacante. ¿Existe algo parecido? Gracias! Link to comment Share on other sites More sharing options...
oka Posted January 28, 2013 Share Posted January 28, 2013 Hola. Con Fail2Ban puedes hacer eso y además capar automáticamente la Ip del atacante en el firewall. Fail2ban scans log files (e.g. /var/log/apache/error_log) and bans IPs that show the malicious signs -- too many password failures, seeking for exploits, etc. Generally Fail2Ban then used to update firewall rules to reject the IP addresses for a specified amount of time, although any arbitrary other action (e.g. sending an email, or ejecting CD-ROM tray) could also be configured. Out of the box Fail2Ban comes with filters for various services (apache, curier, ssh, etc). http://www.fail2ban.org/wiki/index.php/Main_Page Un saludo. Link to comment Share on other sites More sharing options...
japarisid Posted January 29, 2013 Author Share Posted January 29, 2013 Hola. Con Fail2Ban puedes hacer eso y además capar automáticamente la Ip del atacante en el firewall. http://www.fail2ban....x.php/Main_Page Un saludo. Veo que sí existe lo que buscaba. Pero como puedo integrarlo en prestashop? concretamente en el backoffice? Saludos. Link to comment Share on other sites More sharing options...
oka Posted January 29, 2013 Share Posted January 29, 2013 Hola. Fail2ban no se integra con Prestashop, simplemente es un programa que va viendo en tiempo real los logs de Apache y cuando detecta un patrón predefinido ejecuta una acción predefinida que suele ser "capa en el firewall durante 15 minutos la IP del atacante" y genera una alerta por email. Un saludo. Link to comment Share on other sites More sharing options...
japarisid Posted January 30, 2013 Author Share Posted January 30, 2013 Tengo una duda, Fail2ban sirve para controlar los intentos de logeo en el backoffice, frontoffice o vps donde tengo la web? Esto se puede elegir en la configuración? o se aplica a alguna de ellas por defecto? En el frontoffice me da igual, pero backoffice y vps sería interesante. Saludos, Link to comment Share on other sites More sharing options...
oka Posted January 30, 2013 Share Posted January 30, 2013 Fail2ban sirve para controlar los intentos de acceso a cualquier servicio en tu VPS, ya sea Apache, el correo, SSH, FTP etc etc etc Fail2ban es un servicio que corre en segundo plano en tu VPS y va revisando en tiempo real los logs de los servicios que tú le hayas dicho que monitorice. Además de activar los servicios que necesites monitorizar debes de decirle a Fail2ban en qué evento debe de ejecutarse y qué acciones debe de tomar. En el caso de Apache y el BO de prestashop debes de configurar : 1- Activar servicio monitor Apache en Fail2ban para monitorizar fichero access.log o ssl_access.log si usas SSL 2- añadir IP o rango de IPs que aunque se "equivoquen en la password" (lista blanca de ips) no se ejecute el fail2ban (muy recomendable que aquí pongas tu ip cuando haces pruebas) 3- tiempo de baneo en las iptables (Firewall) (nunca dejes para "siempre" una ip baneada a no ser que estés muy seguro de a quién pertenece) 4- Configurar failregex en fail2ban sección Apache. El failregex es lo que va a buscar Fail2ban en los logs de Apache para ejecutar el baneo y la alerta, en el caso del BO de prestashop lo que se escribe en el log cuando alguien falla la password es: XXX.XXX.XXX.XXX - - [30/Jan/2013:16:09:10 +0100] "GET /img/admin/error.png HTTP/1.1" 200 1162 "https://www.mitienda.com/midirectorio-administracion/login.php" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4" Con lo que el failregex quedaría así: failregex = /img/admin/error.png Con lo que Fail2ban sabe que cuando un cliente pide al server ese archivo es porque ha fallado en la autenticación. Por defecto (creo recordar, todo esto lo digo de memoria) fail2ban viene configurado para permitir a un cliente generar hasta 3 alertas antes de banearlo durante 5 minutos. Un saludo. Link to comment Share on other sites More sharing options...
Sergio Ruiz Posted January 30, 2013 Share Posted January 30, 2013 Fail2ban es un servicio que corre en segundo plano en tu VPS y va revisando en tiempo real los logs de los servicios que tú le hayas dicho que monitorice. ¿Y si no tengo un VPS? Link to comment Share on other sites More sharing options...
oka Posted January 30, 2013 Share Posted January 30, 2013 Hola. No sé si en un compartido te permitirían tenerlo instalado, pero me da que no por varias razones, accesos a iptables, gestión de las regex mal escritas que te pueden dejar frito el server en un momento. Imaginas que en un compartido con 100 alojamientos se permitiese que esos 100 administradores tocar a su gusto reglas de iptables que afectan a todo el compartido... Un saludo. Link to comment Share on other sites More sharing options...
Sergio Ruiz Posted January 30, 2013 Share Posted January 30, 2013 Hola. No sé si en un compartido te permitirían tenerlo instalado, pero me da que no por varias razones, accesos a iptables, gestión de las regex mal escritas que te pueden dejar frito el server en un momento. Imaginas que en un compartido con 100 alojamientos se permitiese que esos 100 administradores tocar a su gusto reglas de iptables que afectan a todo el compartido... Un saludo. ¿Y conoces alguna alternativa, que sirva para un compartido? Link to comment Share on other sites More sharing options...
oka Posted January 30, 2013 Share Posted January 30, 2013 Para generar una alerta en un compartido sólo se me ocurre tocar el código de la clase encargada de gestionar la autenticación del BO. Vamos un módulo que haga lo mismo que fail2ban pero a nivel aplicación en PHP. De hecho aunque no podrías banear por Firewall al atacante lo que se me ocurre es que podrías generar un .httaccess con una regla específica para esa ip que redirecionase todo a la web del FBI por ejemplo También puedes ver la posibilidad de usar modsecurity, con él se pueden hacer auténticas diabluras y creo que hay compartidos que sí permiten instancias de modsecurity con tus propias reglas metidas en un .htaccess Un saludo. Link to comment Share on other sites More sharing options...
Sergio Ruiz Posted January 30, 2013 Share Posted January 30, 2013 Para generar una alerta en un compartido sólo se me ocurre tocar el código de la clase encargada de gestionar la autenticación del BO. Vamos un módulo que haga lo mismo que fail2ban pero a nivel aplicación en PHP. De hecho aunque no podrías banear por Firewall al atacante lo que se me ocurre es que podrías generar un .httaccess con una regla específica para esa ip que redirecionase todo a la web del FBI por ejemplo También puedes ver la posibilidad de usar modsecurity, con él se pueden hacer auténticas diabluras y creo que hay compartidos que sí permiten instancias de modsecurity con tus propias reglas metidas en un .htaccess Un saludo. ¿Puedes colocar algun ejemplo? Gracias. Link to comment Share on other sites More sharing options...
oka Posted January 30, 2013 Share Posted January 30, 2013 ¿De un módulo que haga éso? Mejor pregúntale a Nadie Un saludo Link to comment Share on other sites More sharing options...
Sergio Ruiz Posted January 30, 2013 Share Posted January 30, 2013 Me referia a reglas de .htaccess No te pido un módulo, ya que entiendo que requiere su trabajo y su tiempo. Link to comment Share on other sites More sharing options...
oka Posted January 30, 2013 Share Posted January 30, 2013 Me referia a reglas de .htaccess No te pido un módulo, ya que entiendo que requiere su trabajo y su tiempo. Y tener habilidades para hacerlo, las cuales no las tengo. Un ejemplo para redirecionar una IP en el htaccess: RewriteCond %{REMOTE_HOST} !^111\.111\.111\.111 RewriteRule (.*) http://www.fbi.gob/ [R=301,L] Un saludo Link to comment Share on other sites More sharing options...
.png.022b5452a8f28f552bc9430097a16da2.png)
Recommended Posts