Я заметил кучу таких w00tw00t запросы поступают на мой сервер Ubuntu 12.04, поэтому я установил fail2ban. Я последовал за эти инструкции по настройке Fail2ban на запросы w00tw00t. Я убедился, что правильно назвал файлы, и перезапустил fail2ban после изменения конфигурации.
Я тестировал, набирая различные w00tw00t параметры в моем URL точно такие же, как у злоумышленников, но никто меня не забанит. Я не добавлял свой IP в список игнорирования. Я даже пробовал со своего телефона, все равно бана нет.
В jail.conf у меня есть следующее, расположенное в /etc/fail2ban/jail.conf
[w00tw00t-scans]
enabled = true
action = iptables-allports
sendmail-whois[name=SSH, dest=ubuntu, sender=fail2ban@mail.com]
filter = w00tw00t
logpath = /var/log/apache2/access.log
maxretry = 1
bantime = 120 #testing so that I can verify and not be banned for a day!
Вот фильтр w00tw00t, расположенный в /etc/fail2ban/filter.d/w00tw00t.conf
#block w00tw00t scans of all variations
[Definition]
failregex = ^<HOST> .*”GET \/w00tw00t*
ignoreregex =
Я проверил, что путь к журналу задан правильно, введя непонятный параметр в свой URL-адрес, затем проверил access.log и, конечно же, он там был. Я также перезапустил fail2ban, после чего добавил правила.
Есть ли какие-либо другие настройки, которые мне нужно сделать из коробки с помощью fail2ban? После установки единственное, что я сделал, это добавил фильтр и бит wootwoot в jail.conf. Я проверил, работает ли он, набрав /etc/init.d/fail2ban start и он отвечает * Socket file /var/run/fail2ban/fail2ban.sock is present
edit - просто показывает, как выглядит запрос в /var/log/apache2/access.log
Вот злонамеренный запрос
67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"
И вот просьба, которую я сделал
My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"
Эти цитаты ” Мне не кажется, что вы использовали правильный текстовый редактор для написания регулярного выражения? Пытаться
Failregex = ^<HOST> .*"GET /w00tw00t.*"
Что, согласно fail2ban-regex, находит в обоих ваших примерах.