LINUX.ORG.RU

Помогите с fail2ban

 , ,


0

1

Доброго времени суток. Пытаюсь настроить на сервере правило для: CentOS-6 + fail2ban 0.8.6 + apache2.

Постепенно стараюсь вникать в данный вопрос - так что ногами не пинайте уж больно.

LOG APACHE - регулярные попытки запроса GET and POST

190.15.213.104 - - [24/Sep/2018:13:26:54 +0300] «POST /log.php HTTP/1.1» 302 494 "-" «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)»

190.15.213.104 - - [24/Sep/2018:13:26:54 +0300] «POST /fack.php HTTP/1.1» 302 496 "-" «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)»

190.15.213.104 - - [24/Sep/2018:13:26:54 +0300] «POST /angge.php HTTP/1.1» 302 498 "-" «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0)»

190.15.213.104 - - [24/Sep/2018:13:26:54 +0300] «GET /index.php HTTP/1.1» 302 498 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36»

190.15.213.104 - - [24/Sep/2018:13:26:55 +0300] «GET /phpmyadmin/index.php HTTP/1.1» 302 520 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36»

190.15.213.104 - - [24/Sep/2018:13:26:55 +0300] «GET /phpMyAdmin/index.php HTTP/1.1» 302 520 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36»

190.15.213.104 - - [24/Sep/2018:13:26:55 +0300] «GET /pmd/index.php HTTP/1.1» 302 506 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36»

190.15.213.104 - - [24/Sep/2018:13:26:55 +0300] «GET /pma/index.php HTTP/1.1» 302 506 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.84 Safari/537.36»

190.15.213.104 - - [24/Sep/2018:13:26:55 +0300] «GET /PMA/index.php HTTP/1.1» 302 506 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko)

Помогите по данному логу, написать правильное регулярное выражение.

Заранее благодарен.


По типичной лор-овской традиции отвечу на другой вопрос. Особого смысла блокировать IP на такие запросы всё равно нет. Каждый «хакер» быстренько пробежится по таким URL-ом с известными php-дырами и успокоиться надолго раньше, чем вы его заблокируете.

vodz ★★★ ()

+1 к предыдущему ответу

Но если хочется поучиться, в каталоге /etc/fail2ban/filter.d обычно валяются заготовки фильтров apache. Просто посмотри как там и сделай по аналогии.

afanasiy ★★★ ()
Последнее исправление: afanasiy (всего исправлений: 1)