Brute Forcing IPs
I have random IPs constantly targetting my Apache server. A sample of what I get in my log:
80.108.96.31 - - [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)"
200.163.163.189 - - [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3)"
45.51.75.129 - - [18/Aug/2017:16:16:08 +0000] "GET /user.xml HTTP/1.1" 403 517 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)"
83.130.137.207 - - [18/Aug/2017:16:16:08 +0000] "GET /user.xml HTTP/1.1" 403 517 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)"
180.191.87.191 - - [18/Aug/2017:16:16:08 +0000] "GET /machine.xml HTTP/1.1" 403 520 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3)"
I have implemented fail2ban to check the access log and ban for a year but I ended up having these huge access logs and the server disk got full of just the access logs. Help please.
Возможно, вы захотите установить LogRotate чтобы помочь вам держать журналы немного аккуратнее.
Fail2Ban может работать для того, что вы пытаетесь сделать, но вам может потребоваться создать несколько подробных фильтров, чтобы получить требуемые результаты, просто указав Fail2Ban в журнале доступа и установив длительный таймер, не вообще поможет.
Также, если вы получаете так много запросов, это, скорее всего, распределенная атака, и блокировка одного IP-адреса за раз с помощью Fail2Ban может быть не лучшим подходом - однако, если вы хотите Я бы создал фильтры специально для user.xml, machine.xml и для всех, кто создает более нескольких 403-х за определенный период времени.
Вы можете создать свои собственные правила брандмауэра и отбросить любой трафик из большая часть мира - вы можете найти списки IP-блоков «известных злоумышленников» и просто запретить все эти блоки - вы также можете выполнить поиск в WHOIS IP-адресов, приходящих к вам, и вытащить все блоки, из которых они исходят, и начать блокировку их таким образом.
Или создайте правило брандмауэра или правило .htaccess, чтобы просто разрешить трафик только из известного местоположения действия, которые будут использовать ваш сервер Apache.
Но на самом деле .... если это веб-сервер, который должен быть доступен для всех, тогда вы не сможете ничего сделать, чтобы он сильно пострадал, установите LogRotate, немного расширите свои правила Fail2Ban если вы захотите и забудете об этом, вы никогда не остановите то, что видите полностью, если только объем вашего проекта не позволит вам специально РАЗРЕШИТЬ определенные IP-адреса только для доступа к вашему серверу.