我注意到了很多w00tw00t请求到达我的 Ubuntu 12.04 服务器,所以我安装了 fail2ban。我遵循这些说明设置针对 w00tw00t 请求的 Fail2ban。我确保正确命名文件,并在配置更改后重新启动 fail2ban。
我像攻击者一样在 URL 中输入各种w00tw00t参数进行测试,但没有人能禁止我。我没有将我的 IP 添加到忽略列表中。我甚至用手机试过,仍然没有被禁止。
在 jail.conf 中,我在 /etc/fail2ban/jail.conf 中有以下内容
[w00tw00t-scans]
enabled = true
action = iptables-allports
sendmail-whois[name=SSH, dest=ubuntu, [email protected]]
filter = w00tw00t
logpath = /var/log/apache2/access.log
maxretry = 1
bantime = 120 #testing so that I can verify and not be banned for a day!
这是位于 /etc/fail2ban/filter.d/w00tw00t.conf 的 w00tw00t 过滤器
#block w00tw00t scans of all variations
[Definition]
failregex = ^<HOST> .*”GET \/w00tw00t*
ignoreregex =
我通过在 URL 中输入一个模糊的参数来验证日志路径是否设置正确,然后检查 access.log 并确定它在那里。我还确保在添加规则后重新启动 fail2ban。
使用 fail2ban 时,我是否需要进行其他设置?安装后,我唯一要做的就是将过滤器和 wootwoot 位添加到 jail.conf。我通过输入检查以确保它正在运行,/etc/init.d/fail2ban start它响应* Socket file /var/run/fail2ban/fail2ban.sock is present
编辑-仅显示 /var/log/apache2/access.log 上的请求
这是一个恶意请求
67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"
这是我提出的请求
My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"
答案1
我觉得这些引号”看起来不对,你用合适的文本编辑器写正则表达式了吗?试试
Failregex = ^<HOST> .*"GET /w00tw00t.*"
根据 fail2ban-regex,在两个例子中都找到了。