Вопросы Теги

Помогите сделать фильтр fail2ban

я уже сделал некоторые фильтры для моего fail2ban, но только простые вещи, например:

[Definition]
failregex = ^ .* "GET .*/wp-login.php
ignoreregex =

я не использую wordpress на своем сервер, поэтому я блокирую много вредоносных попыток. И я также создал похожие для: phpmyadmin, wp-admin, wp-include и т. д.

но я обнаружил в своем access.log странные вещи, такие как: 

167.172.145.56 - - [22/Sep/2021:06:44:50 -0700] "GET /wp-login.php HTTP/1.1" 403 9901 "http://cpanel.alebalweb-blog.com/wp-login.php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
167.172.145.56 - - [22/Sep/2021:06:44:50 -0700] "GET /wp-login.php HTTP/1.1" 403 9901 "http://mail.alebalweb-blog.com/wp-login.php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"


61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://webdisk.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"    
61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://webmail.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"    
61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://cpcalendars.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"

Эти поддомены не существуют.

Я попытался создать новый фильтр, вдохновленный apache-badbots, но я не уверен, что он правильный:

[Definition]

varioustoblock = cpanel\.|store\.|webdisk\.|autodiscover\.|app\.|cpcalendars\.|cpcontacts\.|webmail\.|mail\.|fulaifushi\.|surf11818\.|asg\.|owa\.|exchange\.\$

failregex = ^<HOST> -.*"(GET|POST).*HTTP.*".*(?:%(varioustoblock)s).*"$
ignoreregex =

datepattern = ^[^\[]

особенно для (.), в прошлом у меня были проблемы с (.) в fail2ban фильтры, и решение состояло в том, чтобы удалить их полностью...

но в этом случае их нельзя удалить, я не могу заблокировать любого, у кого есть слово "почта" в моем URL-адресе... мне нужно обязательно заблокируйте «mail.«

и я хотел бы создать один большой фильтр, который идентифицирует как несуществующие поддомены, так и попытки доступа к wordpress или phpmyadmin, но регулярное выражение pyton действительно страшно, если вы никогда его не использовали...

Может кто мне поможет?

(Я тоже думал об удалении *.alebalweb-blog.com из конфигурации dns, но не уверен, что это хорошая идея, в том числе и потому, что я использую некоторые поддомены.)

Ps как переживал должен ли я быть, если кто-то попытается получить доступ к субдоменам, которые не существуют на моем сайте?

0
задан 22 September 2021 в 20:35

0 ответов

Другие вопросы по тегам:

Похожие вопросы: