nginx - 使用 Nginx 蜜罐并使用黑名单、防火墙阻止 ip 或 fail2ban
问题描述
使用 Nginx 蜜罐并使用黑名单、防火墙阻止 ip 或 fail2ban
所以我们有这台服务器,我们每天都会看到 1000 多个探测器。有趣的是,他们都“尝试”至少相同的基本 uri 之类的\admin
and\wp-admin
和\control
and \mysqladmin
......我们自己的人和用户永远不会输入这些命令。
过去我们向这些 uri 位置匹配发送了拒绝所有,我们的块看起来像这样
location ~* ^/(admin|wp-admin|control)/?$
deny all;
}
但是对于某些 uri 请求,我们 100% 确定这是一个网站探测/黑客/爬虫,正在抓取不存在的过度逻辑不安全的 uri……而不是使用,deny all;
我希望 IP 被阻止……永久或至少24小时
问题:如何 uri 匹配蜜罐之类的请求,然后通过 nginx conf 使用我们的防火墙阻止此 IP?
结果会是这样的
location ~* ^/(admin|wp-admin|control)/?$
ban the ip permanently;
or
ban the ip 24hours;
}
谢谢!
解决方案
如果deny all
在您的 error.log 中产生错误条目,您可以使用名为 nginx-http-auth 的 fail2ban 监狱,因此将其添加到您的/etc/fail2ban/jail.local
:
[nginx-http-auth]
enabled = true
使fail2ban重新启动(或fail2ban-client reload
fail2ban v.0.10或更高版本),它们将被禁止。
如果您在 access.log 中只有条目,或者您想尝试更好的方案,您可以尝试以下操作:
http
在nginx 配置部分创建新的访问日志格式(nginx 默认值有点差) :
log_format badlogfmt '$time_local : $remote_addr : $status : $body_bytes_sent : $request_method : $remote_user : '
'"$request" "$http_referer" "$http_user_agent"';
然后编写一个新条目,将所有“坏”请求记录在单独的日志文件中:
map $status $loggable {
404 0; # ignore page not found (404).
499 0; # ignore canceled/closed requests.
~^[45] 1; # all other requests with status starting with 4 or 5.
default 0;
}
# log the bad requests:
access_log /var/log/nginx/access_bad.log badlogfmt if=$loggable;
# all other requests:
access_log /var/log/nginx/access.log combined;
这将导致所有“坏”请求进入不同的日志,如下所示:
11/Jan/2020:06:27:59 +0100 : 192.0.2.1 : 403 : 154 : GET : - : "GET /admin/ HTTP/1.1" ...
11/Jan/2020:06:28:00 +0100 : 192.0.2.2 : 400 : 166 : - : - : "145.ll|'|'|SGFjS2...
您的监狱可能与此类似:
[nginx-ban-bots]
port = http,https
logpath = /var/log/nginx/access_bad.log
backend = auto
filter =
# ban all but ignore 401 Unauthorized for empty user (: - :) and 404 (and 499 cancel request)...
failregex = ^\s*: <HOST> :(?: (?!40[14]|499)[45]\d{2} :| 401 : \d+ : \S* (?!: - :))
enabled = true
重新加载fail2ban,所有的机器人都会消失。
有关fail2ban/wiki/Best-practice#reduce-parasitic-log-traffic 的更多信息。
如果您的页面足够安全,因此您可以说“我们的页面上没有损坏的链接”,因此您几乎没有 404 错误,一个聪明的技巧也可能是禁止入侵者对每个不存在的页面进行大规模尝试.
404
因此,您可以在指令中评论或删除map $status ...
,以及4
从[14]
失败正则表达式中删除,并可能增加maxretry
(and findtime
) 以避免一些误报。
使用此策略,您无需为任何人工 URL 创建所有 nginx 位置以匹配每个机器人尝试(如果有利可图的 URL 列表发生变化,它明天也可以工作)......
您也可以尝试我们最新的 fail2ban 版本 (0.11) 与增量禁止,然后您可以启用
bantime.increment
并将初始值设置bantime
为一些较低的值,例如30s
(对于可能的误报),但所有被称为“坏”入侵者的禁令将随着每个下一个而更长禁止(经过多次尝试)。
推荐阅读
- javascript - 如何从独立于 Vaadin View 的 JS 调用后端方法?
- .net-core - windows和linux之间的串行通信显示垃圾字符
- postfix-mta - 我已经安装了 postfix 和 dovecot 和 squirrelmail 和 apache 配置,但我不能发送电子邮件到任何外部服务器
- csv - 使用 Neo4j 终端成功导入图表,但在浏览器中不成功
- json - 方向 API 不接受坐标的负值吗?扑
- javascript - 如何使延迟嵌套函数调用结构堆栈安全?
- javascript - 显示网站特定部分的响应式 iframe
- nginx - 修复 Ubuntu 16 sweet32 漏洞
- wordpress - Wordpress add_rewrite_rule 多页不起作用
- c# - EF CORE 映射到同一张表的多个属性