apache - Fail2Ban 忽略本地重定向的 404

我们如何知道这种页面加载模式之间的区别

在正常情况下你不会（至少没有一些白名单或黑名单）。但是您知道 URI 或路径段、文件扩展名等，它们绝不会成为此类攻击向量的目标，您可以忽略它们。

一些 CMS 将版本信息添加到文件中，或者他们调整图像路径以包含基于客户端设备/大小的图像大小。

但是您肯定知道正确的前缀，因此允许某些路径段的 RE 是可能的。比如这个：

# regex ignoring site and cms paths:
^<HOST> -[^"]*\"[A-Z]{3,}\s+/(?!site/|cms/)\S+ HTTP/[^"]+" 40\d\s\d+

将忽略这个：

192.0.2.1 - - [02/Mar/2021:18:01:06] "GET /site/style.css?ver=1.0 HTTP/1.1" 404 469

并匹配这个：

192.0.2.1 - - [02/Mar/2021:18:01:06] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 404 469

类似地，您可以编写一个带有负前瞻的正则表达式来忽略某些扩展，如.cssor.js或参数，如?ver=1.0.

另一种可能性是在特殊日志文件中创建一个特殊的后备位置记录完全更糟糕的请求（而不是访问或错误日志），就像在wiki :: Best practice中描述的那样，这样就可以考虑具有绝对错误 URI 的邪恶者没有匹配任何可以由 Web 服务器处理的正确位置。或者干脆在称为有效位置（路径、前缀、扩展名等）中禁用 404 日志记录。

为了确保或完全避免误报，您可以首先增加maxretry或减少findtime并稍微观察一下（因此，尝试次数过多的作恶者会被禁止，而合法用户的“中断”请求会导致 404 但数量不多但仍将被忽略） . 因此，您可以累积应用程序的“有效”404 请求的整个列表（以便编写更精确的正则表达式或在某些位置过滤它）。