Pour apache, c'est plus compliqué. Il gère ses propres logs dans /var/log/apache2, les erreurs étant relevées dans le fichier error.log.

De plus, il existe plusieurs filtres dont l'action correspond à divers types d'attaques:

cd /etc/fail2ban/filter.d
ls apache*

apache-auth.conf       apache-fakegooglebot.conf  apache-overflows.conf
apache-badbots.conf    apache-modsecurity.conf	  apache-pass.conf
apache-botsearch.conf  apache-nohome.conf	  apache-shellshock.conf
apache-common.conf     apache-noscript.conf

Il n'est pas question d'activer par défaut tous ces filtres. «apache-noscript» est probablement à étudier en priorité. Cependant, il faut avoir présent à l'esprit que les robots d'indexation peuvent légitimement rechercher certains scripts. Il faut donc plutôt s'intéresser aux adresses IP qui cherchent dans un laps de temps relativement court différents scripts.

Une configuration comme celle-ci peut être envisagée:

[apache-noscript]
enabled = true
port    = http, https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 3
bantime = 1hour
action = %(action_mwl)s

L'action choisie permettra, en cas de bannissement d'une IP, de vérifier plus facilement si l'action est justifiée.

Notre hacker malformé va chercher sur notre serveur de test des scripts réputés faiblards dans le très réputé CMS «Wordpress», un script nommé «sms_send» présent sur certains routeurs…