fail2ban: Выявление и блокирование атакующих (HTTP error 4xx) веб сервер

В логах веб сервера можно заметить множество ошибок HTTP error 404, это может быть связано как с поведением различных ботов, так и с атакующими.

В процессе атаки веб сервера, атакующие используют различные инструменты к примеру DirBuster, OWASP ZAP и подобные, которые генерируют множество ошибок 404.

Данный метод надо применять с осторожностью, так как могут заблокироваться легитимные пользователи или поисковые системы. К примеру если удалить несколько страниц

Данный метод не будет работать с серверами установленными за реверс прокси, к примеру cloudflare. Блокировка происходит на фаерволе, а подключение к серверу происходит от серверов прокси. Что может привести к остановке публикации сайта.

По умолчанию у Nginx и Apache формат лога одинаковый. Разница лишь в пути до журналов работы.

На самом деле это может не являться атакой, причин такому поведению может быть много.

1) Заходим в консоль

2) Необходимо создать файл с политикой fail2ban

со следующим содержимым

Правило обрабатывает ошибки 400, при этом игнорирует некоторые файлы, к которым обычно обращаются браузеры.

3) Тестируем правило

4) Открываем политики /etc/fail2ban/jail.conf и добавляем следующую

5) перезапускаем fail2ban для применения изменений

Проверить статистику можно командой

Понравилась статья? Поделиться с друзьями:
Добавить комментарий