Fail2ban: https://www.fail2ban.org/ es una interesante herramienta open source orientada a servidores Linux, que permite detectar ataques o patrones de ataque a través de los distintos LOGs del sistema.
A través de este software, podemos evitar ataques de denegación de servicio por fuerza bruta a servicios tan típicos como SSH, HTTP, HTTPS o FTP.
Imaginando que hemos activado Fail2ban para un servidor web Apache, Fail2ban revisará los distintos LOGs de acceso que se van generando en busca de comportamientos anómalos e intentos de ataque (ej. /var/log/apache/*.log), y dependiendo de lo que encuentre puede tomar distintas decisiones, desde simplemente enviarnos un e-mail informativo, a bloquear la IP atacante temporal o indefinidamente.
Fail2ban está desarrollada en python, y actualmente soporta distintos servicios: apache, sshd, qmail, vsftpd, lighttpd, postfix y courier mail.
En su web oficial hay diversa documentación del proyecto, y en internet es posible encontrar multitud de «howto» mucho más directos: digitalocean, howtogeek…
Enlazando con Fail2ban, hablaremos también del recursos AbuseIPDB: https://www.abuseipdb.com/, que nos pemitirá conocer más detalles sobre un posible atacante que haya sido detectado por Fail2ban, por nuestro Firewalll corporativo o por cualquier otro sistema de este estilo que tengamos implantado.
Una vez tenemos la IP de un posible atacante, podemos consultar en la web de AbuseIPDB su referencia, y constatar si ha podido ser un falso positivo, o un ataque en toda regla.
Desde AbuseIPDB nos dirá si la IP está listada como maliciosa, el número de veces que ha sido reportada, el porcentaje de que sea mala o no, su país de origen, e incluso un pequeño extracto de la naturaleza de los ataques reportados.
Por ejemplo, echando un ojo a una IP maliciosa concreta: https://www.abuseipdb.com/check/72.11.135.222
Podemos ver que está categorizada al 100% como de tipo abuse, que proviene de EEUU, y que normalmente por los reportes remitidos, está orientada a buscar vulnerabilidades y atacar sistemas de correo electrónico:
Con objeto de rizar un poco más el rizo, y completar la ecuación. Podemos automatizar Fail2ban, para que remita las IPs de abuse detectadas, a la base de datos de AbuseIPDB. De esta manera ayudaremos a este segundo sistema, nutriéndolo de datos que puedan ayudar a otras personas.
El procedimiento es relativamente sencillo, y se encuentra documentado en el propio portal web oficial de AbuseIPDB: https://www.abuseipdb.com/fail2ban.html
