Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 31/12/2015, à 07:12

phiibuntu

[RESOLU] problème de log

bonjour à tous,

un petit post genre bouteille à la mer en ce dernier jour de l'année, ça fait trois jours que je cherche partout sans trouver de réponse,
enfin pas que je comprenne smile

le contexte :
Bref j'ai un vps chez ovh en ubuntu server 14.04
J'y héberge quelques sites, dont un worpdress, un forum, une petit application open source etc.

le besoin :
j'avais mis en place fail2ban pour mon serveur ssh (tout va bien)
je me suis dit pourquoi pas faire pareil pour wordpress. le forum ..et là le drame.

En effet après plusieurs tentatives ça ne fonctionne pas, pire ej me suis aperçu que dans :
/var/log/auth.log
/var/apache2/access.log
/var/apache2/other_vhosts_access.log

et bien point d'informations contenant l'authentification, pas d'éléments comme pour ssh de type "host authentification failure ....."
du coup forcément ça ne marche pas.

la question :
comment faire apparaître ces informations dans les log, c'est plutôt du paramétrage apache? car j'ai utilisé des plugin wordpress sensée
le faire dans le auth.log ça n'a pas marché non plus.
Pire ça ne fonctionne pas sur le forum que j'héberge (en phpbb) point de log de ce type non plus.

Voilà je vous remercie d'avance si vous aviez une piste, pas de log sur un server c'est interdit en plus...donc bon une bonne âme?

Dernière modification par phiibuntu (Le 05/01/2016, à 20:59)

Hors ligne

#2 Le 31/12/2015, à 10:40

Inglebard

Re : [RESOLU] problème de log

Salut,
Si j'ai bien compris, tu cherches les connexions vers les comptes de site webs.
Tu ne les trouveras pas, ils ne sont pas logguer. par contre pour un wordpress, dans /var/apache2/access.log tu trouveras ceci :

"POST /wp-login.php HTTP/1.1" 200 ...

POST => envoie de données vers ton serveur
wp-login.php => fichier d'authentification pour wordpress

Ce qui montre que quelqu'un essaie de se connecter, tu peux bannir si tu vois que ça force.

Après si tu cherche quelque chose de plus précis, je pense qu'il faut passer par un plugin (qui fonctionne smile)

Dernière modification par Inglebard (Le 31/12/2015, à 10:40)

Hors ligne

#3 Le 31/12/2015, à 13:44

phiibuntu

Re : [RESOLU] problème de log

voilà c'est ça,
j'ai bien ces log dans access.log.

mais pour que fail2ban fonctionne il faut semble-t-il que des info de type POST /wp-adminphp authentication failure....
existe dans le post.

J'ai donc essayé pas mal de plugin (censé envoyer ces info dans le auth.log) mais aucun n'a l'air de fonctionner.
du coup tu me confirmes que mes logs fonctionnent normalement, mais que l'export des plugin wordpress ver mes journaux ne fonctionne pas smile

Je vais continuer mes recherches du coups, Merci.

(ah euh pour les log ça serait pas un problème de droit, comment wordpress pourrait écrire dans les fichier log qui n'appartiennent pas a www-data et qui n'ont pas des droits en écritures ouvert à tous les vents?)

Bref si quelqu'un connait un plugin qui fonctionne, je suis preneur (wordpress 4.4).

Hors ligne

#4 Le 31/12/2015, à 14:05

Inglebard

Re : [RESOLU] problème de log

Ben voici ce que moi je fais (j'utilise nginx mais ça doit être assez semblable pour apache) :
dans /etc/fail2ban/jail.conf, je rajoute :

[wordpress]

enabled  = true
port     = http,https
filter   = wordpress
logpath  = /var/log/nginx/*access.log
findtime = 60
maxretry = 10
bantime  = 3600

j'ajoute le fichier /etc/fail2ban/filter.d/wordpress.conf avec :

[Definition]
# Fail2Ban Configuration
#
# Wordpress
#
# Option : failregex
# Note : Regexp to cach a generic call from ip
# Value : Text
#
failregex = <HOST>.*POST.*(wp-login\.php|xmlrpc\.php).*

Je compte uniquement les POST (envoie de données) et non les GET (consultation).

Je ne sais pas si c'est un bon exemple à suivre vu qu'on ne sait pas si la personne à réussi à se connecter ou non mais je considère qu'essayer de se connecter à 10 reprises d'affilé en moins de 1 minute est suspect.

Lors d'un formulaire, si une connexion renvoie un code http différent de 200 (genre 403) ça peut être intéressant de l'utiliser.


Effectivement ton plugin peut avoir un problème de droit. Pour écrire dans auth.log. Personnellement, je n'aimerais pas avoir un service php pouvant modifier auth.log étant donné qu'il est de base réserver pour des services système.

Hors ligne

#5 Le 31/12/2015, à 14:21

phiibuntu

Re : [RESOLU] problème de log

je vais essayer...mais demain près midi pour le coup.

merci pour les infos, je suis d'accord pour le auth.log du coup je ne comprends même pas pourquoi les plugins
fail2ban de wordpress dise de prendre ce fichier log comme référence, alors qu'ils n'écrivent pas dedans (et ça ne parle jamais de modification de droits).

je posterai si ça marche smile

Merci encore. et bonne fêtes smile

Hors ligne

#6 Le 31/12/2015, à 14:34

phiibuntu

Re : [RESOLU] problème de log

bon j'ai testé smile quand même.

Alors le filtre ssh fonctionne toujours
le filtre wordpress reste vide même quand je lance la commande :

 sudo fail2ban-client status wordpress
|- filter
|  |- File list:        /var/log/apache2/access.log /var/log/apache2/other_vhosts_access.log
|  |- Currently failed: 0
|  `- Total failed:     0
`- action
   |- Currently banned: 0
   |  `- IP list:
   `- Total banned:     0

dans l'access.log je ai des post comme tu les décris (ci dessous un exemple) :
"POST /wp-login.php HTTP/1.1" 302 ...

mais ils ne sont pas comptés par fail2ban, du coup ça me fait une piste... mais j'ai déjà remove et purge fail2ban pour tout refaire smile

J'y perds mon latin smile d'autant que je simule à la main des erreurs de connexions...Fail2ban ne les compte simplement pas...

bonnes fêtes quand même je verrai ça en 2016 smile

EDIT :
j'ai revérifié en fait les log en wp-login.php ne sont plus mis à jour depuis ce matin ... j'ai seulement ça désormais dans les log
"OPTIONS * HTTP/1.0" 200 110 "-" "Apache/2.4.7 (Ubuntu) PHP/5.5.9-1ubuntu4.14 OpenSSL/1.0.1f (internal dummy connection)"

à mon avis c'est lié au plugin qui ne fonctionne pas tu avais raison dès le premier post smile

Dernière modification par Ayral (Le 03/01/2016, à 11:38)

Hors ligne

#7 Le 31/12/2015, à 14:55

Inglebard

Re : [RESOLU] problème de log

Attention, comme je te l'ai signalé, j'utilise nginx, les access logs peuvent être différent, il faut donc modifier le fichier wordpress.conf.

Tu peux tester les règles fail2ban avec fail2ban-regex : https://www.isalo.org/wiki.debian-fr/Fa … .C3.A8gles

Hors ligne

#8 Le 31/12/2015, à 15:16

phiibuntu

Re : [RESOLU] problème de log

j'ai bien les log comme les tiens jusqu'à 8 heures ce matin smile
mais à force de modifier ma conf j'ai du supprimer un plugin, ou des fichiers de config
bref je te tiens au courant je refais le tour et je te dirais ça merci encore

Hors ligne

#9 Le 03/01/2016, à 11:30

phiibuntu

Re : [RESOLU] problème de log

bon un petit up car :

je n'ai même plus les authentifications ssh dans auth.log... (j'ai rien touché au serveur ssh ni dans pam ni dans la gestion des logs...)
plein d'essais plus tard aucun plugin wordpress n'écrit dans auth.log ou access.log dans apache2.
aucun log apache de toute façon dans ces fichiers...
C'est aléatoire les logs sur ubuntu? (rsyslog ça ne marche pas un peu des fois?)
Je fini par soupçonner que ubuntu server c'est juste pour héberger un lamp en local mdr c'est pas possible d'avoir des logs la dedans? sérieux c'est chaud
d'autant qu'il est illégal de ne pas avoir de log sur son serveur ...

En gros faut que je change d OS? Debian? il me reste que ça? là j'avoue plusieurs jours de recherche sans rien pouvoir trouver ni piste ni rien c'est à me dégouter de 8 ans d'ubuntu

dans auth.log n'apparait que :
IP public de mon pc de test (pas le serveur) - - [03/Jan/2016:11:41:34 +0100] "POST /wp-admin/admin-ajax.php?t=1451817694631 HTTP/1.1" 200 794 "https://www.mondomaine.org/?page_id=19" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36"

et les authentification ssh ont bien disparu (j'ai redémarré le serveur ssh, fail2ban, rsyslog ...)

je perds espoir j'avoue

Dernière modification par phiibuntu (Le 03/01/2016, à 11:59)

Hors ligne

#10 Le 03/01/2016, à 12:10

Inglebard

Re : [RESOLU] problème de log

Salut,
Les logs sur ubuntu fonctionne très bien. Tu as du faire une mauvaise manipulation.
As tu changer des droits ou modifier des fichiers de configurations ? As tu regardé si il y avait un problème dans syslog ?

plein d'essais plus tard aucun plugin wordpress n'écrit dans auth.log ou access.log dans apache2.

Je ne pense pas que ça soit une bonne idée de faire loguer (manuellement via un plugin) un wordpress dans auth.log ou access.log (aussi bien d'un point de vue sécurité que fonctionnelle). Je pense que que tu dois trouver une autre solution pour faire ce que tu cherches. Personnellement si tu as un plugin qui log les connexion avec date et heure / ip, tu peux très bien le mettre dans ton dossier wordpress (à la racine par exemple, plutôt que de le mettre dans auth ou access.log) puis ajouter une règle fail2ban pour lire ce nouveau fichier de logs avec les regex (l'interprétation) qui va bien. Ça suffit pour pouvoir bloquer quelqu'un.

Hors ligne

#11 Le 03/01/2016, à 12:43

phiibuntu

Re : [RESOLU] problème de log

ah mais je serai ok smile mais j'ai essayé aussi, un fichier log à la racine de mon wordpress mais ça n'écrit jamais lol.
Même avec des droit total sur ce fichier... bref.

A l'origine (quand fail2ban fonctionnait nickel avec ssh) je n'avais pas rsyslog d'installer, j'ai voulu l'ajouter quand j'ai vu qu'apache, wordpress etc n'écrivait dans aucun log
(même avec 777 sur le fichier hein j'en ai fait plein des test smile ).
Du coup là je viens de le désinstaller et c'est syslog-ng qui fait le job, le ssh refonctionne du coup.

Pour les logs apache et wordpress, je vais continuer à chercher, et je te confirme dans un fichier à part (dans un répertoir log dans wordpress par exemple). Mais là j'essaye surtout que ce satané machin (wordpress) écrive des log quelque part smile
Bon pour ubuntu je rage là mais bon le problème vient souvent du truc entre le clavier et la chaise...:(

merci pour les conseils smile

Hors ligne

#12 Le 05/01/2016, à 20:58

phiibuntu

Re : [RESOLU] problème de log

Bon j'ai trouvé ...en fait lorsque je passais par un plugin (Ultimate Member) par la page de login de l'extension...pas de log
si je passais (du coup j'avais remis le widget meta) par la page de login standard...eureka! des logs

bref j'ai trouvé ça va marcher, merci pour le coup de pouce j'aurai appris des trucs smile

Hors ligne