我正在尝试禁止 jail.local 配置中的特定 URL。该 URL 是
Add_Product.php?union+select <-- Lots more follows this
ERROR NOK: ('Unable to compile regular expression \'^(?:::f{4,6}:)?(?P<host>[\\w\\-.^_]*\\w) -.*"(GET|POST).*/Add_Product.php?*union+select\'',)
此 URL 实际上并不存在。我们甚至没有在数据库中运行此查询。
这是我的 jail.local 的规则
[sql-union-select-attack]
enabled = true
filter = sql-union-select-attack
logpath = /var/log/nginx/*access.log
maxretry = 1
findtime = 10
bantime = 60000
这是我的 filter.d/sql-union-select-attack.conf 中的规则
#The SQL Injection attempt with "union+select+" in the URL
[Definition]
failregex = ^<HOST> -.*"(GET|POST).*/Add_Product.php?*union+select+0x5e2526
ignoreregex =
我的 jail 规则是否有语法错误?我尝试使用这这个问题作为参考,因为我需要类似的东西。这次攻击尝试使我的服务器陷入瘫痪。
谢谢。
答案1
这解决了我的问题。我在虚拟机上进行了测试,它成功断开了我的连接。
failregex = ^\d{4} <HOST> -.*\"(GET|POST).*Add_Product.php.*union+select