网站建设|独享带宽服务器|优惠促销机型|付款方式|联系我们
快速业务通道
技术文章 > 操作系统 > Linux > 正文
文件 -1 text win2 服务 域名

fail2ban封IP之Http

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-17

环境介绍:http是一个tomcat 的js程序 ,设置的路径为/opt/tomcat5/logs/localhost_access_log.txt
OS:centos 5.3 fail2ban版本:fail2ban-0.8.2-3.el5.rf.noarch.rpm
官方网站:http://www.fail2ban.org/wiki/index.php/Main_Page

背景:及时发现别人的恶意请求并禁止

步骤:

1.安装fail2ban
这里我走了弯路,下源码包安装报错,大家可以这个网址下载:http://packages.sw.be/fail2ban/

  1. #rpm -ivh fail2ban-0.8.23.el5.rf.noarch.rpm

2.配置fail2ban的自定义过滤规则
分析/opt/tomcat5/logs/localhost_access_log.txt 日志的恶意请求如下 :

  1. 192.168.32.41 - - [10/Sep/2010:18:11:27  0800] "GET 12345678.txt HTTP/1.1" 404 1063  
  2. 192.168.32.41 - - [10/Sep/2010:18:11:27  0800] "GET 12345678.txt HTTP/1.1" 404 1063  
  3. 192.168.32.41 - - [10/Sep/2010:18:11:29  0800] "GET 12345678.txt HTTP/1.1" 404 1063  
  4. 192.168.32.41 - - [10/Sep/2010:18:11:29  0800] "GET 12345678.txt HTTP/1.1" 404 1063  
  5. 192.168.32.41 - - [10/Sep/2010:18:11:29  0800] "GET 12345678.txt HTTP/1.1" 404 1063  
  6. 192.168.32.41 - - [10/Sep/2010:18:11:29  0800] "GET 12345678.txt HTTP/1.1" 404 1063

从攻击行为特征来看, 这是短时间连续导致服务器发送HTTP 404文件未找到错误码, 下面是用于发现上述攻击的fail2ban filter规则,
在/etc/fail2ban/filter.d/目录下建立tomcat.conf文件保存下面的内容:

  1. [Definition]  
  2. failregex = <HOST> -.*- .*HTTP/1.* 404 .*$  
  3. ignoreregex =

3.测试fail2ban的过滤规则

  1. # fail2ban-regex /opt/tomcat5/logs/localhost_access_log.txt /etc/fail2ban/filter.d/tomcat.conf

结果如下:

  1. Running tests 
  2. =============  
  3.  
  4. Use regex file : /etc/fail2ban/filter.d/tomcat.conf  
  5. Use log file   : /opt/tomcat5/logs/localhost_access_log.txt  
  6.  
  7.  
  8. Results 
  9. =======  
  10.  
  11. Failregex  
  12. |- Regular expressions:  
  13. |  [1]  -.*- .*HTTP/1.* 404 .*$  
  14. |  
  15. `- Number of matches:  
  16.    [1] 13 match(es)  
  17.  
  18. Ignoreregex  
  19. |- Regular expressions:  
  20. |  
  21. `- Number of matches:  
  22.  
  23. Summary 
  24. =======  
  25.  
  26. Addresses found:  
  27. [1]  
  28.     192.168.32.41 (Fri Sep 10 18:10:59 2010)  
  29.     192.168.32.41 (Fri Sep 10 18:11:27 2010)  
  30.     192.168.32.41 (Fri Sep 10 18:11:27 2010)  
  31.     192.168.32.41 (Fri Sep 10 18:11:29 2010)  
  32.     192.168.32.41 (Fri Sep 10 18:11:29 2010)  
  33.     192.168.32.41 (Fri Sep 10 18:11:29 2010)  
  34.     192.168.32.41 (Fri Sep 10 18:11:29 2010)  
  35.     192.168.32.41 (Fri Sep 10 18:11:30 2010)  
  36.     192.168.32.41 (Fri Sep 10 18:11:30 2010)  
  37.     192.168.32.41 (Fri Sep 10 18:27:44 2010)  
  38.     192.168.32.41 (Fri Sep 10 18:27:47 2010)  
  39.     192.168.32.41 (Fri Sep 10 18:27:50 2010)  
  40.     192.168.32.41 (Fri Sep 10 18:27:53 2010)  
  41.  
  42. Date template hits:  
  43. 0 hit(s): Month Day Hour:Minute:Second  
  44. 0 hit(s): Weekday Month Day Hour:Minute:Second Year  
  45. 0 hit(s): Weekday Month Day Hour:Minute:Second  
  46. 0 hit(s): Year/Month/Day Hour:Minute:Second  
  47. 130 hit(s): Day/Month/Year:Hour:Minute:Second  
  48. 0 hit(s): Year-Month-Day Hour:Minute:Second  
  49. 0 hit(s): Day-Month-Year Hour:Minute:Second[.Millisecond]  
  50. 0 hit(s): TAI64N  
  51. 0 hit(s): Epoch  
  52.  
  53. Success, the total number of match is 13  
  54.  
  55. However, look at the above section ''Running tests'' which could contain important  
  56. information.

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
12下一页
分享到: 更多
上一篇: linux关机详解下一篇: windows下快速体验linux的三种方式
关于fail2ban封IP之Http的所有评论
随机推荐
相关文章
关于我们|联系我们|合作伙伴|工作机会|付款方式|网站地图

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号