Fail2ban 在 Ubuntu 上不起作用

Fail2ban 在 Ubuntu 上不起作用

我注意到了很多w00tw00t请求到达我的 Ubuntu 12.04 服务器,所以我安装了 fail2ban。我遵循这些说明设置针对 w00tw00t 请求的 Fail2ban。我确保正确命名文件,并在配置更改后重新启动 fail2ban。

我像攻击者一样在 URL 中输入各种w00tw00t参数进行测试,但没有人能禁止我。我没有将我的 IP 添加到忽略列表中。我甚至用手机试过,仍然没有被禁止。

在 jail.conf 中,我在 /etc/fail2ban/jail.conf 中有以下内容

[w00tw00t-scans]

enabled  = true

action   = iptables-allports

sendmail-whois[name=SSH, dest=ubuntu, [email protected]]

filter   = w00tw00t

logpath  = /var/log/apache2/access.log

maxretry = 1

bantime  = 120  #testing so that I can verify and not be banned for a day!

这是位于 /etc/fail2ban/filter.d/w00tw00t.conf 的 w00tw00t 过滤器

#block w00tw00t scans of all variations

[Definition]

failregex = ^<HOST> .*”GET \/w00tw00t*

ignoreregex =

我通过在 URL 中输入一个模糊的参数来验证日志路径是否设置正确,然后检查 access.log 并确定它在那里。我还确保在添加规则后重新启动 fail2ban。

使用 fail2ban 时,我是否需要进行其他设置?安装后,我唯一要做的就是将过滤器和 wootwoot 位添加到 jail.conf。我通过输入检查以确保它正在运行,/etc/init.d/fail2ban start它响应* Socket file /var/run/fail2ban/fail2ban.sock is present

编辑-仅显示 /var/log/apache2/access.log 上的请求

这是一个恶意请求

67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"

这是我提出的请求

My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"

答案1

我觉得这些引号看起来不对,你用合适的文本编辑器写正则表达式了吗?试试

Failregex = ^<HOST> .*"GET /w00tw00t.*"

根据 fail2ban-regex,在两个例子中都找到了。

相关内容