Apache-2.2

Fail2ban 無法在 Ubuntu 上執行

  • February 12, 2014

我注意到一堆w00tw00t請求來到我的 Ubuntu 12.04 伺服器,所以我安裝了 fail2ban。我按照這些說明針對 w00tw00t 請求設置 Fail2ban。我確保正確命名文件,並在更改配置後重新啟動 fail2ban。

w00tw00t我像攻擊者一樣通過在我的 URL 中輸入各種參數進行測試,但沒有人會禁止我。我沒有將我的 IP 添加到忽略列表中。我什至從我的手機上嘗試過,仍然沒有被禁止。

在 jail.conf 我有以下位於 /etc/fail2ban/jail.conf

[w00tw00t-scans]

enabled  = true

action   = iptables-allports

sendmail-whois[name=SSH, dest=ubuntu, sender=fail2ban@mail.com]

filter   = w00tw00t

logpath  = /var/log/apache2/access.log

maxretry = 1

bantime  = 120  #testing so that I can verify and not be banned for a day!

這是位於 /etc/fail2ban/filter.d/w00tw00t.conf 中的 w00tw00t 過濾器

#block w00tw00t scans of all variations

[Definition]

failregex = ^<HOST> .*”GET \/w00tw00t*

ignoreregex =

我通過在我的 URL 中輸入一個晦澀的參數來驗證日誌路徑是否設置正確,然後檢查 access.log 並確定它在那裡。添加規則後,我還確保重新啟動fail2ban。

我還需要使用fail2ban 進行開箱即用的其他設置嗎?安裝後,我唯一做的就是將過濾器和 wootwoot 位添加到 jail.conf。我通過鍵入檢查以確保它正在執行/etc/init.d/fail2ban start,它的響應是* Socket file /var/run/fail2ban/fail2ban.sock is present

編輯 - 只是在 /var/log/apache2/access.log 上顯示請求的樣子

這是一個惡意請求

67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"

這是我提出的一個要求

My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"

這些引號對我來說看起來不正確您是否使用適當的文本編輯器來編寫您的正則表達式?嘗試

Failregex = ^<HOST> .*"GET /w00tw00t.*"

根據 fail2ban-regex 在您的兩個範例中都可以找到。

引用自:https://serverfault.com/questions/575172