0

我想找到 403 请求并禁止它们,这是我的日志格式

112.253.6.182 - - [08/Sep/2014:17:42:56 -0400] "GET / HTTP/1.1" 403 579 "baidu" "Mozilla/4.0" 50.117.86.72
106.37.177.251 - - [08/Sep/2014:17:42:56 -0400] "GET /index.php HTTP/1.1" 404 576 "baidu" "Mozilla/4.0" 204.44.65.173
190.254.173.14 - - [08/Sep/2014:17:42:56 -0400] "GET /index.php HTTP/1.1" 404 576 "baidu" "Mozilla/4.0" 204.44.65.173
41.222.196.37 - - [08/Sep/2014:17:42:56 -0400] "GET / HTTP/1.1" 403 579 "baidu" "Mozilla/4.0" 50.117.86.72

我的失败记录是:

failregex = ^<HOST> -.*"(GET|POST).*.php.*\ 403\ .*$

忽略正则表达式 =

但是当我使用 fail2ban-regex 命令对其进行测试时,它会在下面返回

Failregex: 32 total
|-  #) [# of hits] regular expression
|   1) [32] ^<HOST> -.*"(GET|POST).*.php.*\ 403\ .*$
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [3266] Day/MONTH/Year:Hour:Minute:Second
`-

Lines: 3266 lines, 0 ignored, 32 matched, 3234 missed
Missed line(s): too many to print.  Use --print-all-missed to print all 3234 lines

你能帮我做一个正则表达式来匹配 403 请求并打印出 ip。提前致谢

4

2 回答 2

2

首先,您的示例日志条目是 403s/和404s /index.php,而您的正则表达式尝试匹配php扩展名和 403 代码。难怪你没有对手。

因此,如果您的兴趣只是 403 错误条目而不管路径如何,这应该有效。

^<HOST> .* "(GET|POST) [^"]+" 403

要调试您的正则表达式,您可以使用此代码段。请注意,这是由fail2ban<HOST>预处理的。(?:::f{4,6}:)?(?P<host>\S+)

于 2014-09-15T11:34:47.170 回答
0

根据@saaj 的回答,虽然四行日志没有匹配项,但从完整日志的测试结果中可以明显看出有 32 个匹配项。也就是说,显然,新模式(不包括 php 扩展)确实捕获了更多的 403。

一个更简单的匹配模式是:^<HOST> .* 403

这可以从命令行测试:

fail2ban-regex '112.253.6.182 - - [08/Sep/2014:17:42:56 -0400] "GET / HTTP/1.1" 403 579 "baidu" "Mozilla/4.0" 50.117.86.72' '^<HOST> .* 403'

为了获得积极的结果,并且

fail2ban-regex '106.37.177.251 - - [08/Sep/2014:17:42:56 -0400] "GET /index.php HTTP/1.1" 404 576 "baidu" "Mozilla/4.0" 204.44.65.173' '^<HOST> .* 403'

为阴性结果。

于 2017-08-25T07:10:45.293 回答