我已经将 fail2ban 0.9.6 与 iptables 1.6.2 配合使用,并用它来阻止攻击者,因为几天以来,攻击者一直在戏弄我的电子邮件服务器(典型的 Dovecot + Postfix 安装)。一切正常,配置文件、日志文件等,但它并没有真正禁止攻击者的 IP 地址,因为我可以看到他试图在 /var/log/mail.log 中访问,即使在 fail2ban 禁止它之后也是如此。 这是来自该攻击者的日志摘录: Oct 27 00:05:55 servidor dovecot: auth: Debug: passwd-file([email&nb...
我一直在寻找 Fail2ban Jail 配置文件可接受的持续时间格式(也许它不是 F2B 独有的)。 我想确保在表达时间量时哪些后缀是有效的。 F2B 配置对此并不明确:https://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Jails 到目前为止,似乎以下符号是被接受的:m、h、d 有人能告诉我这些后缀的完整列表吗? ...
我使用自己的服务器(nginx,我使用https://yunohost.org作为 CP)使用 ShareX 上传截图(https://getsharex.com/)。在截图上传过程中,文件名是随机的。 问题:最近,许多人都在为这些图片上传网站编写暴力破解程序。他们只是编写了一个小程序,向 URL 发送随机 httprequest,并检查它是否返回 404,如果没有,则保存 URL。这些人可以访问他们不应该看到的半私密截图。 解决方案:这些程序不使用任何代理,因此您应该能够使用 fail2ban 阻止这些请求。我对此没有任何经验,所以我自己无法做到,所以...
我已关闭 root 登录和密码验证。我有一个自定义 jail.local,其永久禁令时间和最大禁令次数为 1。无效用户不会被禁止。如下所示 Aug 8 11:36:51 TWS sshd[25058]: Invalid user haxor from IP_REDACTED port 60598 Aug 8 11:36:51 TWS sshd[25058]: Received disconnect from IP_REDACTED port 60598:11: Bye Bye [preauth] Aug 8 11:36:51 TWS sshd[250...
%E8%84%9A%E6%9C%AC%E6%97%A0%E6%B3%95%E8%BF%90%E8%A1%8Cphp%E6%96%87%E4%BB%B6.png)
我正在尝试在 fail2ban 操作文件中运行 php 脚本。当我禁用 selinux 时,一切正常,但当我再次启用它时,我的 fail2ban 日志中出现持续错误。 php.conf(操作) actionban = php /usr/share/nginx/html/worker/fail2ban.php <ip> 错误日志: -- stdout: 'Could not open input file: /usr/share/nginx/html/fail2ban.php\n' 如何在启用 Selinux 的情况下运行此文件?提...
我有一个基于配置的 fail2ban。我正在运行一个运行 SSH 服务的容器,并且我看到了很多“奇怪”的连接。我已将 docker 设置为将容器的日志发送到 Systemd 的日志,并且我将其用作 fail2ban 的源。这是我在 F2B 中使用的过滤器: [sshd_docker] enabled = true port = 22 filter = sshd[__prefix_line="^\s*\S+\s+[^[]+\[\w+\]:[^\]]+\]:\s+", __pref="", journalmatch="CONTAINER_NAME=ssh...
在我的网络服务器上,我在 apache-logfiles 中找到: [Wed Jan 09 16:29:10.660069 2019] [:error] [pid 11705] [client 66.249.66.66:39066] script '/var/www/fairtragen/7327991037366506690.php' not found or unable to stat [Wed Jan 09 16:31:33.649479 2019] [:error] [pid 11793] [client 66.249.66.64:61571] ...
我已经安装并启动了 fail2ban。查看 apache 和安全日志,显然有很多垃圾邮件。但 fail2ban 尚未阻止任何内容 sudo iptables -L INPUT -v -n | less fail2ban-client status 我如何重新处理安全和 Apache 日志以禁止过去的黑客攻击? ...
当我禁用 SSH 密码验证时,我们只能使用私钥验证登录,运行 fail2ban 进行 SSH 暴力破解保护是否仍然有意义? 我认为攻击者要么有密钥,要么没有。那么实际上提供了什么保护措施呢? ...
我在多个 cents 7 服务器上遇到了这个问题。当用户进行过多次调用(通过 API、电子邮件或 ssh)时,服务器会自动禁止该 IP 一段时间。我已经设置了 CSF + Fail2Ban,将“最大限制”更改为更高级别,但仍然有人被禁止。 1) 如何将最大重试次数改为更高的限制? 2) 当 IP 被禁止时,我能否收到电子邮件通知? 希望有人能帮助我。 提前致谢! ...
垃圾邮件发送者正在对我的服务器(Debian 上的 postfix)进行暴力密码猜测攻击。他们已经猜出了两个用户的密码并开始使用我的服务器发送垃圾邮件。密码已更改,攻击已减轻(目前),但我想完全阻止他们。 我安装了 fail2ban,但由于某种原因它无法检测到攻击。 /etc/fail2ban/fail.conf包含: [sasl] enabled = true port = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s filter = sasl # You might cons...
在我的一台 VPS 上,我遇到了 SSH 问题。我无法从家里连接,但我可以从其他 VPS 连接。KiTTY 得到连接超时使用 Windows 命令telnet [host] 22行连接失败。 VPS 使用 fail2ban,但运行时iptables -L fail2ban-SSH -v -n显示其他被阻止的 IP 地址,但不是我的。 这样做iptables -L -v -n | grep "[my IP]"并没有在任何地方显示我的 IP 地址,因此可以安全地得出结论,我没有被防火墙阻止。 我也检查过了/etc/hosts.deny,但那里什么也没有。 ...
我正在使用 pureftpd 和 fail2ban,但不起作用。似乎能够读取日志,但事件fail2ban.filter未触发。我调查了很多有关所有可能的问题,并且已经做了很多检查,但我不知道为什么它不起作用。我将开始输入我的配置、日志和我所做的操作。之前,我必须说我已经在同一台机器上运行了 ok fail2ban 来对抗 apache 和 ssh。问题只发生在 pureftpd 上。: 在我的 /etc/fail2ban/jail.local 上 [pureftpd] enabled = true port = 21 filter = pure-ftpd...
我需要知道是什么程序或什么特定规则禁止了我的 IP 地址,因为在我编程时经常发生这种情况。由于我通过 LAN 连接,它将禁止我的路由器的内部 IP。然后,大约 10 分钟后,它会取消禁止该 IP。我需要知道是什么在做这件事。 这是内核日志, Jul 24 12:40:35 buntubox-001 kernel: [68405.371388] [UFW BLOCK] IN=enp2s0 OUT= MAC=01:00:5e:00:00:01:d8:50:e6:ce:a9:f0:08:00 SRC=0.0.0.0 DST=224.0.0.1 LEN=32 T...
我有一个非常我的邮件服务器上安装了少量的 postfix。事实上,我是唯一一个从它那里收到邮件的人,尽管来自几个不同的域和邮箱。 仅昨天就有 811 条警告(52 个唯一主机/IP),遵循以下模式: [...]warning: hostname <HOSTNAME> does not resolve to address <IP>: Name or service not known 查看主机名,它们似乎都与垃圾邮件有关。至少昨天是这样。 我的问题是,我有什么理由不应该向我的 fail2ban 添加一个正则表达式postfix...