問題タブ [fail2ban]

恩知らずな訪問者の種類が異なる場合に、IP を fail2ban banlist に即座に追加しようとしています。「shell」または「shell_exec」を使用して次のコマンドを実行する php スクリプトからこれを実行しようとしています。

exec('fail2ban-client -vvv set ssh-iptables banip 123.123.123.123');

(fail2ban のネイティブ検出を使用し、自分の Web サイトの管理ゾーンから手動で禁止を追加または削除したいと考えています。)

しかし、この方法はうまくいきません...

何か案が？ありがとう！

最近、ssh ハッキングの試みを保護するために、Ubuntu サーバーに fail2ban をインストールしました。最初の試行が失敗した後にIPを禁止したにもかかわらず、maxtetryを3回に設定したため、maxtetryを除いてすべてが期待どおりに機能しています。以下は、/etc/fail2ban/jail.local 内の刑務所設定です。auth.log を確認すると、試行が 1 つあります。

私のApacheログには、次のようなものがたくさんあります。

<NUM1>: 302 または 404

<NUM2>: 5XX、6XX または 11XX

<文字列>:

「Mozilla/5.0 (互換; AhrefsBot/5.1; + http://ahrefs.com/robot/ )」

「Mozilla/5.0 (互換; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+ )」

「Mozilla/5.0 (互換; Googlebot/2.​​1; +...リンク)」

「Mozilla/5.0 (互換; Exabot/3.0; +...リンク)」

等...

この正規表現を使用して、fail2ban の刑務所を作成しました。

禁止されている IP アドレス (ログの <IP ADDRESS> を参照) が Google やその他の非常に有名な企業の IP であることを除いて、すべて正常に動作しています。

なぜこのようになっているのか、私にはよくわかりません。なぜGoogleや他の会社を禁止する必要があるのか​​ 、そうでなければ、サーバーへの不適切なリクエストをすべて受け入れる必要があるのか​​.

説明が不十分だったので、質問を明確にしたいと思います。

1-Google の IP (および他の既知の企業) がこの種の「ポルノ」リクエストを行っている理由

2-「/forward?path=...」に意味はありますか?それは apache の機能ですか?

3-「良い」ボットがサイトを参照するのを止めずにこの問題を処理する方法。

助けてくれてありがとう！

webapp に fail2ban を実装したいと考えています。問題は、正規表現の扱い方がわからないことです。nginx ログは次のようになります

今fail2banのドキュメントは、例えばnginx-noscript.conf

基本的に、カスタム nginx ログの正規表現をフォーマットする方法を知りたいです。いくつかの正規表現を試しましたが、機能せず、エラーもスローされません。

サーバーが稼働してnginxおり、wordpress. ディスク I/O を削減し、パフォーマンスを向上させるために、アクセス ログが無効になりました。特定のファイルにログhost date/time methodを記録する複数の特定の uri のカスタム ログを有効にしました。uriサーバーがリクエストを受信した瞬間にIPを直接禁止しています/phpmyadmin。ここで、 や など/xmlrpc.phpの既知の検索エンジンをホワイトリストに登録したいと思います。IP をホワイトリストに登録する方法は知っていますが、多数のスパイダーをホワイトリストに登録する方法がわかりません。AOL.com Baidu Bingbot/MSN DuckDuckGo Googlebot Teoma Yahoo!Yandex

テストのために、fail2ban を使用して、Android ブラウザーからではなく、自分の Web サイトへのすべてのトラフィックをブロックしたいと考えています。

ログ ファイルの文字列は次のとおりです。

何か助けはありますか？前もって感謝します！

Docker コンテナで nginx を使用しており、nginx docker コンテナのログ ファイルをホストと簡単に共有できます。ログはその上にあり、/var/log/nginxフォルダーで動作します。

特にログファイルを確認するために、ホストにfail2banをインストールしましたaccess.log。

簡単なフィルターをテストします

そして手軽にアクティブに/etc/fail2ban/jail.local

fail2ban サービスを再起動/停止/開始/リロードします。次に、この正規表現をテストします

特に管理者のリクエストでは、何千もの行に一致します。

主な問題は、fail2ban が自動的に機能しないため、以前のようにメールが送信されないことです。実際、ホストに直接 nginx インストールを使用すると、完全に機能します。

ログは基本的な形式であり、次のような「結合」形式を呼び出します。

私のnginxコンテナーとその子は完全なパーミッション（777）であるため、パーミッションの問題はありません。もちろん、後で変更します！

fail2ban プロセスが ip を禁止せず、 docker と一致しないのはなぜですか?

だから今日、私はfail2banフィルターの正規表現をまとめようとしていました. ここで、fail2ban には、正規表現パターンでネストされた OR 操作に関する問題があることに気付きました。

入力文字列:127.0.0.1 - - [13/Aug/2016:07:01:45 -0400] "a

パターン：^<HOST> -.*\"(c|b)|a

次に例を示します。

これは実際には成功し、正規表現パターンを実行すると一致が報告されることに注意しましたa|(c|b)が、最初の OR の両側をチェックして、最初の条件が一致するかどうかを確認できる必要があります (たとえば、HTTP 要求がtype が POST または GET でない場合)、正規表現パターンの残りを無視するか、最初の OR の後に残りの正規表現パターンを実行します。もう1つのことは、グループ化は常に最も外側のORの最初の部分にのみ一致するように見えるため、重要ではないように見えることです。

ここで一致を取得します。

regex101.com や debuggex.com などのサイトでテストした結果、これらの正規表現パターンの両方と一致することが報告されたため、これはバグである可能性があります。

nginx ウェブサーバー access.log のカスタム ログファイル形式に基づいて、fail2ban で特定のリクエストをブロックする必要があります。

一致するはずの問題のある行はaccess.logにあり、次のようになります。

正規表現を使用した私のfail2ban構成wordpress-xmlrpc.conf：

刑務所は実行されていますが、問題のある行は見つかりません:

刑務所のステータス: wordpress-xmlrpc (簡略化):
- ファイル リスト: /var/log/nginx/access.log
- 現在失敗: 0
- 合計失敗: 0

- 現在禁止: 0
- 合計禁止: 0

どんな助けでも大歓迎です！

CloudFlare が前にあるサーバーで Fail2ban を使用できるかどうか疑問に思っていますか?

問題は、着信 Web トラフィックが発信元 IP ではなく、CloudFlare サーバーの IP を持っているように見えることです。

たとえば、使用されていないシステムの脆弱性を調査する人々を禁止します。

上記は、ColdFusion を悪用しようとする試みのようです...それが何であれ。だから私はそれらをbanhammerしましたが、着信IPがCloudFlareとしてリストされているので、うまくいきません.

IP ルックアップ: 173.245.55.134

したがって、その前に CloudFlare を使用して fail2ban を引き続き使用することは可能ですか? 解決策は何ですか？