问题标签 [fail2ban]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
2533 浏览

regex - fail2ban 在 nginx 访问日志中扫描 403

我在 nginx 上设置了一些特定的规则,阻止了一些 url 和一些扩展(aspx、sh、jsp 等)。我还为 403|429|410 错误启用了自定义访问日志文件,因此我只能在一个地方获得所有拒绝访问的日志。

我的目标是让 fail2ban 读取此日志,并且对于每个以 403 错误结尾的 GET/POST,IP 都应该被禁止。

1) nginx.conf 将记录自定义错误日志文件,如下所示:

log_format 限制 '$time_local - $remote_addr "$request" $status';

这是一个日志条目:

2)我有一个像这样的fail2ban过滤器(取自这里

3)我试过fail2ban-regex

fail2ban-正则表达式 /var/log/nginx/access-live-limitbot-website.log /etc/fail2ban/filter.d/nginx-403.conf

这是输出

而且我永远不会得到与错误代码匹配的条目。

有人会根据我的自定义日志帮助我使用正则表达式吗?

谢谢你

0 投票
2 回答
650 浏览

centos - Fail2ban: 获取没有 ip 的 mac 地址

是否可以使用 fail2ban 正则表达式检测 MAC 地址?

我能做什么:检测源IP地址

从日志文件

Fail2ban 失败正则表达式

结果给1.2.3.4。然后,任何fail2banaction都可以使用该<ip>变量。

我想做的:检测MAC地址

有可能做这样的事情吗?

结果应该给00:00:00:00:00:00:00:00:00:00:00:00:00:00。然后,任何fail2banaction都可以使用<mac>变量来举例。

有人有答案或任何文件吗?我没有找到有关 fail2ban 正则表达式或检测可能性的信息。

0 投票
2 回答
611 浏览

logstash-grok - Logstash Grok 解析错误 - fail2ban 日志

我正在尝试fail2ban使用下面的配置文件和模式(通过在线教程)解析日志文件。

但是我遇到了一个 grok 解析错误,有什么想法可以解决这个问题吗?

日志文件格式:

日志存储配置:

模式配置:

0 投票
3 回答
4277 浏览

python - 无法启用fail2ban jail sshd

启用 sshd jail 后,我Starting fail2ban: ERROR NOK: ("Failed to initialize any backend for Jail 'sshd'",) ERROR NOK: ('sshd',) 在日志中看到: ERROR Backend 'systemd' failed to initialize due to No module named systemd ERROR Failed to initialize any backend for Jail 'sshd'

Centos 6.7 没有 systemd 模块。CentOS 6.7,python 2.6

0 投票
1 回答
451 浏览

linux - nginx-noscript 阻止 Facebook IP

我在我的服务器中针对 noscript 配置了 fail2ban。但是我有一些小部件可以将内容分享到 facebook。

现在我收到此警报:

所以,问题是,我应该删除规则还是忽略此消息?据我所见,内容无论如何都是共享的。但我不确定这里的正确操作。


规则:

0 投票
0 回答
159 浏览

apache - 使用这条线的 Grok 过滤器(fail2ban 输出)

我想过滤logstash中的以下几行(这是fail2ban的输出,到目前为止我发现的模式并没有真正起作用)

有什么帮助吗?

0 投票
1 回答
429 浏览

security - Ghost(Node 博客引擎):有没有办法记录失败的登录尝试?

幽灵管理员!

我想保护 Ghost 博客免受可能的暴力登录攻击。

  1. 有没有办法用Ghost记录失败的用户登录尝试

我到处寻找日志,但什么也没找到。(在Nginx / Linux服务器上运行。)。这些失败的登录尝试是否记录在任何地方

  1. 多次尝试失败后是否可以禁止用户?

如果有人可以尝试暴力破解您的管理员登录,那么拥有fail2ban或其他登录保护并不是很好。

0 投票
1 回答
364 浏览

apache - fail2ban 检测不良网站爬虫

最近,我的服务器受到了恶意网站爬虫的攻击,该爬虫在约 2 分钟内搜索了我网站上的约 70.000 个文件夹。这导致了一些服务器延迟,如果它在 phpmyadmin 或其他东西中发现一些漏洞,也可能是一个问题。

现在我的问题是:是否有可以阻止此类扫描的 fail2ban 配置?

我已经找到了一个较旧的(link),但它与我日志中的日志字符串不匹配。

我日志中的字符串如下所示:

0 投票
1 回答
458 浏览

google-analytics - 如何使用 fail2ban 阻止来自谷歌分析和服务器的垃圾邮件推荐

最近,我看到来自诸如 bidvertiser 等垃圾邮件域的 GA 推荐流量大幅增加。com,easyhits4u。com 或交通漩涡。com。这些在 GA 中弄乱了很多数据,导致转换率突然下降,导致数据无法使用。

你可以很容易地看到哪些推荐是不好的,因为它们有一些特点:

  1. 跳出率高
  2. 在页面上花费的时间少(每个用户的页面浏览量更少)
  3. 0 次转化(如果你衡量这样的事情)

查看日志我发现了这样的行

如何处理?

0 投票
1 回答
303 浏览

apache - Fail2ban - 阻止恶意攻击

我希望使用fail2ban从我的服务器(apache)阻止这个僵尸IP,这里是来自access.log的那个

我已经删除了恶意文件,如何使用 fail2ban 规则阻止它?

我希望有以下定义:POST,所有 php 文件和 404

这是我的 filter.d/ban.conf:

failregex = <HOST> .*"POST .*.php.* 404


感谢任何帮助,谢谢