Si vous utilisez Fail2Ban avec Nginx et WordPress, vous remarquerez tôt ou tard une chose : les mêmes adresses IP reviennent. Elles sont bannies pendant quelques minutes ou une heure, disparaissent… puis reviennent essayer /.env, /wp-login.php, /phpmyadmin ou d’autres chemins d’attaque populaires.
La solution n’est pas de rendre les filtres plus agressifs. La solution est recidive — un deuxième niveau de protection dans Fail2Ban qui analyse l’historique des bannissements et bloque à long terme les récidivistes.
Référence à la configuration précédente
Si vous n’avez pas encore la configuration de base de Fail2Ban pour Nginx et WordPress, je l’ai décrite ici :
Fail2Ban + Nginx + WordPress – configuration de base
Dans cet article, nous configurons des jail comme nginx-exploit, nginx-secure ou sshd. Recidive ne remplace pas cette configuration — il la renforce.
Comment trouver les récidivistes dans les logs
Il est d’abord utile de vérifier si le problème existe réellement. Nous extrayons des logs Fail2Ban la liste des IP qui ont été bannies le plus souvent :
|
1 |
grep "Ban " /var/log/fail2ban.log | awk '{print $NF}' | sort | uniq -c | sort -nr | head |
Exemple de résultat (adresses partiellement anonymisées) :
|
1 2 3 4 5 6 7 8 9 10 |
13 204.76.203.18 9 41.142.XXX.XXX 8 64.89.XXX.XXX 8 50.82.XXX.XXX 8 35.243.XXX.XXX 8 34.24.XXX.XXX 7 45.166.XXX.XXX 7 34.83.XXX.XXX 7 176.42.XXX.XXX 6 49.36.XXX.XXX |
Si vous voyez des nombres comme 8, 9, 13 — cela signifie que ces IP reviennent après la levée du bannissement. Un bantime court n’est pour elles qu’une simple pause technique.
Pourquoi recidive est meilleur que l’augmentation du bantime
- Vous n’avez pas besoin de bannir tout le monde pendant 24h pour une simple faute de frappe dans une URL.
- Vous ne augmentez pas le risque de bloquer des utilisateurs légitimes.
- La sanction est progressive et concerne uniquement les adresses qui reviennent.
Recidive analyse /var/log/fail2ban.log et compte combien de fois une IP a été bannie par d’autres jail. Cela permet de “neutraliser” uniquement celles qui ont déjà été bloquées à plusieurs reprises.
Configuration de recidive (5 bannissements en 24h = 7 jours de bannissement)
Ajoutez le bloc suivant dans /etc/fail2ban/jail.local :
|
1 |
nano /etc/fail2ban/jail.local |
À la fin du fichier, collez :
|
1 2 3 4 5 6 |
[recidive] enabled = true logpath = /var/log/fail2ban.log bantime = 7d findtime = 1d maxretry = 5 |
Enregistrez le fichier et redémarrez Fail2Ban :
|
1 |
systemctl restart fail2ban |
Vérifiez le statut du jail :
|
1 |
fail2ban-client status recidive |
Comment vérifier qui est proche du seuil recidive
Si vous souhaitez voir les IP qui ont déjà plusieurs bannissements et s’approchent du seuil recidive :
|
1 |
grep "Ban " /var/log/fail2ban.log | awk '{print $NF}' | sort | uniq -c | awk '$1 >= 3 {print}' | sort -nr |
Résumé
Recidive est l’un des moyens les plus simples et les plus efficaces pour limiter les scanners et bots récurrents. Au lieu de bannir agressivement tout le monde — vous bloquez uniquement ceux qui reviennent à plusieurs reprises.
Dans un environnement avec plusieurs domaines, un reverse proxy Nginx et WordPress, c’est pratiquement un élément incontournable de la configuration : moins de bruit dans les logs, moins d’attaques répétitives et moins d’analyse manuelle.