Une règle fail2ban contre la vuln log4j

Si vous êtes toujours aux prises avec la faille log4j, il existe de nombreuses techniques pour parer l’attaque comme vous pouvez le lire ici ou grâce à Crowdsec. Mais même si vous avez tout rafistolé et que vous ne risquez rien, il y a probablement des tas de gars drôles qui tentent leur chance de toute façon. Et ça pourrit vos bûches.

La meilleure solution serait donc de bannir toutes les IP qui tentent d’exploiter cette vulnérabilité.

Jay Caines-Gooby a publié une règle fail2ban sur son site qui détecte et bannit immédiatement les IP des personnes effrayantes qui jouent avec log4j.

Pour ce faire, ajoutez la règle suivante dans /etc/fail2ban/jail.local

[log4j-jndi]
maxretry = 1
enabled = true
port = 80,443
logpath = /path/to/your/*access.log

Créez ensuite le fichier

/etc/fail2ban/filter.d/log4j-jndi.conf

et mettez-y la définition de regex suivante :

[Definition]
failregex   = (?i)^<HOST> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$

Et voilà !

grâce à Henri pour l’info et si vous souhaitez suivre les discussions sur cette règle Fail2Ban, l’essentiel du code est ici.

A voir également  Quelques différences clés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Retour haut de page