Как правильно настроить fail2ban для запрета IP, если он получает доступ к некоторым неправильным файлам
В прошлом я нашел, что это произошло из-за владельца DB, являющегося invild, как он был удален из экземпляра SQL.
Попробуйте это от окна запроса:
use <database with issue>;
exec sp_changedbowner 'sa';
Это должно затем позволить Вам просматривать DB в проводнике SSMS.
Если Вы, не используют смешанную аутентификацию режима затем sub 'sa' с учетной записью домена, предпочтительно та, которая служит сервисной учетной записью с правами SA.
Вам нужно указать fail2ban (через регулярное выражение), где в записи журнала он найдет , чтобы затем он мог заблокировать этот хост. Для обычного журнала доступа это будет в начале строки, поэтому
<HOST> -.*(w00tw00t|main.php|setup.php)
будет работать, но может не делать именно то, что вы хотите, поскольку он будет соответствовать соответствующим триггерам в любом месте записи журнала.
Вы можете попробовать что-нибудь например
<HOST> -.*(/w00tw00t|/main.php |setup.php )
, который должен связывать некоторые строки с более конкретными местоположениями