Назад | Перейти на главную страницу

фильтр регулярных выражений fail2ban не работает с файлами журнала nginx

Я весь день бился головой, пытаясь сопоставить мой фильтр регулярных выражений с моим access.log, но безуспешно. Я установил fail2ban на сервер gentoo, и он работает нормально (я вручную заблокировал свой IP-адрес, и он работает), но регулярное выражение fail2ban не работает и возвращает 0 результатов с фильтрами, даже на моем сайте сейчас и последние несколько дней атака с большой нагрузкой.

кстати, я не использую программное обеспечение iptables на своем сервере (мне нужно установить его, чтобы fail2ban работал?) Я думаю, что fail2ban не может прочитать мой формат журнала или мой формат времени, я пытался настроить все, но не повезло, любая помощь очень очень ценится

Вот мой jail.local

[INCLUDES]
before = paths-common.conf
[DEFAULT]
action=%(action_mwl)s
ignoreip = 127.0.0.1/8 192.168.99.25
ignorecommand =
bantime  = 86400
findtime  = 300
backend = gamin

[wp-login]
enabled = true
filter = wp-login
banaction=iptables-allports
logpath = /var/log/nginx/localhost*access_log
bantime = 7200
maxretry = 1


[nginx-nohome]
enabled=true
port=http,https
filter=nginx-nohome
logpath=/var/log/nginx/localhost.error.log
bantime=86400
maxretry=2

[nginx-dos]
enabled = true
port    = http,8090,8080
filter  = nginx-dos
logpath = /var/log/nginx/localhost.access*log
findtime = 30
bantime  = 172800
maxretry = 140

[nginx-login]
enabled = true
filter = nginx-login
action = iptables-multiport[name=NoLoginFailures, port="http,https"]
logpath = /var/log/messages
bantime = 7200
maxretry = 6

[nginx-req-limit]
enabled = true
filter = nginx-req-limit
action = iptables-multiport[name=ReqLimit, port="http,https", protocol=tcp]
logpath = /var/log/nginx/localhost.access*log
findtime = 600
bantime = 7200
maxretry = 10

а вот и мои фильтры:

[Definition]i
failregex = limiting requests, excess:.* by zone.*client: <HOST>

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
~

[Definition]
failregex = ^<HOST> -.*GET */wp-login* HTTP/1\.."
ignoreregex =

#
[Definition]
failregex = ^<HOST> -.*GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\scgi)
ignoreregex =


[Definition]
failregex = ^<HOST> -.*GET .*/~.*
ignoreregex =
~

На стороне nginx это синтаксис и вывод моего формата журнала:

формат журнала

 log_format main
 '[$time_local] - $remote_addr '
 '"$request" $status $bytes_sent '
 '"$http_referer" "$http_user_agent" ';

вывод журнала доступа:

[01/Oct/2015:09:15:52 +0800] - 60.18.17.206, 113.21.15.23 "POST/httprl_async_function_callback?count=121 HTTP/1.1" 200 1351 "-" "Drupal (+http://drupal.org/)" "-"

формат журнала ошибок:

2015/09/22 00:04:06 [error] 7418#0: *287 FastCGI sent in stderr: "Primary    scriptunknown", client: 192.168.99.76, server: www.sams.com, request: "GET/city HTTP/1.0", host: "www.sams.com"

ОБНОВИТЬ: Мой сайт не использует wordpress, но я получаю миллионы связанных ссылок wp-login.php, которые я хочу заблокировать, есть много агрессивных вредоносных поисковых ботов, рекламных ботов, а также пауков, которые ломают мой сервер, я хочу заблокировать

Кажется, вы не очень хорошо знакомы с регулярными выражениями, у вас крутая кривая обучения. Утилита fail2ban использует регулярные выражения Python, стоит немного прочитать эту страницу.

Часть проблемы, с которой вы столкнулись, - это часть вашего failregex

^<HOST>

Это говорит о поиске предопределенного <HOST> регулярное выражение в начале строки (или сразу после новой строки), то есть ^ для.

Глядя на ваши примеры журналов, все они начинаются с даты / времени, это удаляется fail2ban до того, как регулярное выражение будет применено к остальной части строки. Строка не начинается с чего-либо, что могло бы распознать "^", поэтому ваше регулярное выражение не работает.

Простой пример с использованием вашей записи в журнале ошибок. Если вы хотите принять меры для scriptunknown ошибок (что может быть хорошо, а может и не быть), вы можете использовать failregex, например

failregex= scriptunknown", clinet: <HOST>

Вы можете проверить это, запустив его за файлом журнала, используя fail2ban-регулярное выражение (1) например

fail2ban-regex /path/to/logfile 'scriptunknown", client: <HOST>'
Running tests
=============

Use   failregex line : scriptunknown", client: <HOST>
Use         log file : /path/to/logfile
Use         encoding : UTF-8


Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] scriptunknown", client: <HOST>
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [1] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
|  [1] Year(?P<_sep>[-/.])Month(?P=_sep)Day 24hour:Minute:Second(?:,Microseconds)?
`-

Lines: 2 lines, 0 ignored, 1 matched, 1 missed [processed in 0.00 sec]    
|- Missed line(s):
|  [01/Oct/2015:09:15:52 +0800] - 60.18.17.206, 113.21.15.23  "POST/httprl_async_function_callback?count=121 HTTP/1.1" 200 1351 "-" "Drupal (+http://drupal.org/)" "-"

Хорошо, так что это может делать то, что вы хотите, но это может быть слишком широко, вам нужно будет посмотреть на результаты и сделать эти вызовы.

кстати, я не использую программное обеспечение iptables на своем сервере (нужно ли мне его устанавливать, чтобы fail2ban работал?)

Вам нужен какой-то брандмауэр, совместимый с fail2ban, установленный и работающий в вашей системе. Как вы это тестировали и

я вручную забанил свой IP и он работает

Тогда я думаю, что-то там работает.