Điểm:0

Ubuntu

Giúp tạo bộ lọc fail2ban

alebal

20:35, 22/01/2023

Tôi đã thực hiện một số bộ lọc cho fail2ban của mình, nhưng chỉ là những thứ đơn giản, như:

[Sự định nghĩa]
failregex = ^ .* "NHẬN .*/wp-login.php
bỏ quaregex =

tôi không sử dụng wordpress trên máy chủ của mình, vì vậy tôi chặn rất nhiều nỗ lực độc hại. Và tôi cũng đã tạo những cái tương tự, cho: phpmyadmin, wp-admin, wp-include, v.v.

nhưng tôi đã tìm thấy trong access.log của mình những thứ kỳ lạ như:

167.172.145.56 - - [22/Sep/2021:06:44:50 -0700] "GET /wp-login.php HTTP/1.1" 403 9901 "http://cpanel.alebalweb-blog.com/wp-login .php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
167.172.145.56 - - [22/Sep/2021:06:44:50 -0700] "GET /wp-login.php HTTP/1.1" 403 9901 "http://mail.alebalweb-blog.com/wp-login .php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"


61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://webdisk.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"    
61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://webmail.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"    
61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://cpcalendars.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"

Những tên miền phụ đó không tồn tại.

Tôi đã cố gắng tạo một bộ lọc mới, lấy cảm hứng từ apache-badbots, nhưng tôi không chắc nó có đúng không:

[Sự định nghĩa]

Varioustoblock = cpanel\.|store\.|webdisk\.|autodetect\.|app\.|cpcalendars\.|cpcontacts\.|webmail\.|mail\.|fulaifushi\.|surf11818\.|asg\.| owa\.|exchange\.\$

failregex = ^<HOST> -.*"(GET|POST).*HTTP.*".*(?:%(varioustoblock)s).*"$
bỏ quaregex =

datepotype = ^[^\[]

đặc biệt là đối với dấu (.), trước đây tôi gặp vấn đề với dấu (.) trong bộ lọc fail2ban và giải pháp là loại bỏ chúng hoàn toàn...

nhưng trong trường hợp này, chúng không thể bị xóa, tôi không thể chặn bất kỳ ai có từ "thư" trong url của mình... tôi cần đảm bảo chặn "thư".

và tôi muốn tạo một bộ lọc lớn duy nhất xác định cả tên miền phụ không tồn tại và cố gắng truy cập wordpress hoặc phpmyadmin, nhưng pyton regex thực sự đáng sợ nếu bạn chưa bao giờ sử dụng nó ...

Ai giúp tôi với?

(Tôi cũng đã nghĩ đến việc xóa *.alebalweb-blog.com khỏi cấu hình dns, nhưng tôi không chắc đó là một ý kiến hay, cũng bởi vì tôi sử dụng một số tên miền phụ.)

Tái bút Tôi nên lo lắng như thế nào nếu ai đó cố gắng truy cập các tên miền phụ không tồn tại trên trang web của tôi?

0 + 0

googledart

Thomas Ward

20:46, 22/01/2023

Vì vậy, đây là điều cần xem xét: có RẤT NHIỀU bản ghi DNS cũ cho mọi thứ. Tôi vẫn bị tấn công vì một trang web đã bị xóa cách đây 6 năm trên một máy chủ, tên miền và DNS và mọi thứ, nhưng các trình thu thập thông tin vẫn thử và tấn công nó - bạn có thể chỉ cần xem xét việc thiết lập một 'trang web' mặc định trong Apache hoặc nginx cho bất kỳ trang web nào. Mục nhập Máy chủ chưa từng có trên hệ thống của bạn chỉ nhận được 403 hoặc 404. Tuy nhiên, trong mọi trường hợp, bạn nên bớt lo lắng nếu ai đó truy cập vào các trang web và tên miền phụ không tồn tại và quan tâm hơn là bạn CHỈ phân phát nội dung cho các máy chủ hợp lệ trên hệ thống của mình và chỉ 403 hoặc 404 cho các máy chủ không hợp lệ.

Hồi đáp

alebal

19:37, 23/01/2023

Tôi muốn chặn chúng hơn, vì ví dụ như hôm nay chúng đã đến: 3721, a-pistefto, zarxar, progylka, tuya, bnksb ... chắc chắn không liên quan gì đến máy chủ hiện tại hoặc với các máy chủ trước đây, chúng dường như tìm kiếm một cánh cửa mở để vào ... và tôi đã kiểm tra một số ip, thường thì chúng là những cái đang tìm kiếm wp-login hoặc wp-admin ... nhưng bộ lọc của tôi phải được tinh chỉnh lại, vì chẳng hạn như hôm nay tôi đã chặn mail.ru , mà, chàng trai tội nghiệp đã không làm gì sai ...

Hồi đáp

Thomas Ward

20:21, 23/01/2023

Đây là một thực tế cần cân nhắc: hầu hết trong số đó có thể là dịch vụ thăm dò, không phải là điều bạn thực sự có thể quan tâm. Đề xuất của tôi là, chỉ cần sử dụng bộ lọc Fail2Ban cũ đơn giản tiêu chuẩn để xem các lỗi 404 và 403, sau đó chỉ cần mở rộng khối đến thời gian tục tĩu thay vì thu hẹp các bộ lọc của bạn. Ví dụ, hôm nay tôi có 60.000 lượt truy cập cho các chuỗi tên máy chủ gồm 5 ký tự ngẫu nhiên cho một tên miền phụ hoạt động ở đây. Chúng hoàn toàn ngẫu nhiên, có khả năng là máy quét dịch vụ. Cố gắng để chặn tất cả là vô ích.

Hồi đáp

Điểm:0

Ubuntu

sebres

13:26, 27/01/2023

Bộ lọc khả thi có thể trông như thế này:

[Sự định nghĩa]

datepotype = ^\S+ \S+ \S+( \[{DATE}\])

mã lỗi = (?!401)[45]\d\d
tên miền phụ được phép = www|mail|cpannel
tên miền sai = (?!(?:%(tên miền phụ được phép)s)?\.)(?:[^\."]+\.){2,}[^\."]+
failregex = ^<ADDR> \S+ \S+ "[A-Z]+ /[^"]*" (?:(?P<err>%(errcode)s)|\d+)(?(err)| \d+ " https?://%(saidomain)s")

Điều này sẽ khớp với bất kỳ mã "xấu" nào được chỉ định bởi mã lỗi hoặc sai tên miền do khớp điều kiện e. g. trong trường hợp mã 200.

Ở đâu:

(?:(?P<err>%(errcode)s)|\d+) - khớp với một trong hai mã lỗi được chỉ định (như 403 và lưu trữ dưới dạng nhóm được đặt tên sai lầm) hoặc bất kỳ mã nào khác (như 200);
(?(err)...A...|...B...) - biểu thức điều kiện khớp với biểu thức con A nếu sai lầm đã khớp với biểu thức trên (chỉ mã lỗi, vì A trống ở đây) nếu không khớp với biểu thức con B (tên miền con sai).
(?!(?:%(miền phụ được phép)s)?\.)(?:[^\."]+\.){2,}[^\."]+ - khớp với mọi thứ ngoại trừ các chuỗi bắt đầu bằng tên miền phụ được phép do tính năng tìm kiếm tiêu cực (?!...) và (?:[^\."]+\.){2,}[^\."]+ cho vài thứ như zzz.xxx.yyy.

Nhưng sẽ tốt hơn nếu hạn chế tên miền ở phía máy chủ web và cấm mọi yêu cầu đối với tên miền bất hợp pháp ở đó.

Trong trường hợp này, bộ lọc có thể giống như thế này:

[Sự định nghĩa]

datepotype = ^\S+ \S+ \S+( \[{DATE}\])

mã lỗi = (?!401)[45]\d\d
failregex = ^<ADDR> \S+ \S+ "[A-Z]+ /[^"]*" %(errcode)s\b

0 + 0

alebal

19:09, 27/01/2023

Bạn có thể giải thích chúng cho tôi?

Hồi đáp

sebres

09:45, 28/01/2023

Chắc chắn, tôi đã cập nhật câu trả lời của mình

Hồi đáp

alebal

19:20, 28/01/2023

Cảm ơn rất nhiều, bây giờ chúng ta hãy xem ... và cố gắng hiểu ... cảm ơn

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Help to make a fail2ban filter

TH: ช่วยทำตัวกรองfail2ban

RO: Ajută la realizarea unui filtru fail2ban

RU: Помогите сделать фильтр fail2ban

VI: Giúp tạo bộ lọc fail2ban

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.