最近,我的服务器开始受到匿名扫描仪/暴力攻击。
攻击之后,我的 nginx access.log 如下所示:
xxx.xxx.xxx.xxx - - [07/Sep/2019:23:30:16 +0200] "GET /phpMyAdmin/index.php HTTP/1.1" 404 548 "-" "Mozilla/5.0..
xxx.xxx.xxx.xxx - - [07/Sep/2019:23:30:18 +0200] "GET /admin/index.php HTTP/1.1" 404 548 "-" "Mozilla/5.0..
他们还尝试访问大量其他 URL/管理页面/随机名称。我做了一些研究,发现了 fail2ban。所以我安装了它。
我让它运行了一段时间,但攻击又发生了。我意识到默认设置[nginx-botsearch]并不能捕获所有攻击,更不用说它的日志路径配置错误了。
我进行了一些谷歌搜索,并确定了这个自定义过滤器:
# /etc/fail2ban/jail.local
[nginx-404-errors]
enabled = true
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 2
# /etc/fail2ban/filter.d/nginx-404-errors.conf
[Definition]
failregex = ^<HOST>.*"(GET|POST|HEAD).*" (404|444|403|400) .*$
ignoreregex =
这种方法效果很好,但攻击者决定攻击 http。但问题是我在 nginx 上有一个 http 到 https 的重定向规则。
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$server_name$request_uri;
}
所以现在我收到了很多 301 重定向日志access.log。我想也许我应该301在上面使用的正则表达式中添加一个。所以现在是:
failregex = ^<HOST>.*"(GET|POST|HEAD).*" (404|444|403|400|301) .*$
攻击暂时停止了。但我担心普通访客在尝试通过 http 访问网站时可能会遇到麻烦,fail2ban 可能会找他们的麻烦。
这是我应该缓解此类暴力攻击的方法吗?还是我应该采取其他方法?
答案1
我会考虑你的页面在 HTML 中的链接方式。如果你的访问者只看到https://-链接,一旦他将连接升级到 https,您就可以让 301-Bans 保持活动状态。如果您的网站上的每次点击都会导致 301 重定向到其 https 等效项,那么这样做显然是不明智的。此外,我建议将 301 的合法数量增加到 10 或 15。
更成问题的是,只要点击 2 次 404 页面就会被禁止。这将使您的网站内容管理系统的使用变得非常困难,因为每次尝试链接到不存在的图像或 URL 都会导致被禁止。将限制提高到两位数。十个 404 请求不会破坏您的服务器。即使在合法使用的情况下,它们也会经常发生,尤其是在多语言网站、缺少 favicon.ico、新页面部署、图像上传延迟等情况下……
答案2
现在最好的办法是将 http 重定向到 https,因为 http 已经过时了。Google 还将 https 页面的排名高于非 http 页面。最好的办法是设置从 http 到 https 的永久重定向,这样人们就无法访问网站的 http 版本。查看您的配置,我觉得您不会遇到任何问题。如果您遇到任何问题(定期检查您的日志),请在此处发布日志,我很乐意为您提供帮助。