使用 Nginx 蜜罐并使用黑名单、防火墙阻止 IP 或 fail2ban
所以我们有这个服务器,我们每天看到1000个探针。有趣的是,他们都"尝试"至少相同的基本 uri,例如admin和wp-admin以及control和mysqladmin......我们自己的人和用户永远不会键入这些命令。
过去,我们向这些 uri 位置匹配项发送了全部拒绝,我们的块如下所示
location ~* ^/(admin|wp-admin|control)/?$
deny all;
}
但是对于某些 uri 请求,我们 100% 确定这是一个网站探测器/黑客/爬虫爬行不存在的过度逻辑不安全的 uri ......而不是使用deny all;我希望阻止 IP......永久或至少 24 小时
问题:我如何像蜜罐一样 uri 匹配请求,然后通过 nginx conf 使用我们的防火墙阻止此 IP?
结果将是这样的
location ~* ^/(admin|wp-admin|control)/?$
ban the ip permanently;
or
ban the ip 24hours;
}
谢谢!
如果deny all错误中产生错误条目.log,您可以使用 一个名为nginx-http-auth的fail2ban监狱,所以在你的/etc/fail2ban/jail.local中添加这个:
[nginx-http-auth]
enabled = true
使 Fail2ban 重新启动(或 Fail2ban v.0.10 或更高版本的fail2ban-client reload(,它们将被禁止。
如果你只有 access.log 中的条目,或者你想尝试更好的方案,你可以试试这个:
在nginx配置http部分中创建新的访问日志格式(nginx默认值有点差(:
log_format badlogfmt '$time_local : $remote_addr : $status : $body_bytes_sent : $request_method : $remote_user : '
'"$request" "$http_referer" "$http_user_agent"';
然后编写一个新条目,将所有"错误"请求记录在单独的日志文件中:
map $status $loggable {
404 0; # ignore page not found (404).
499 0; # ignore canceled/closed requests.
~^[45] 1; # all other requests with status starting with 4 or 5.
default 0;
}
# log the bad requests:
access_log /var/log/nginx/access_bad.log badlogfmt if=$loggable;
# all other requests:
access_log /var/log/nginx/access.log combined;
这将导致所有"错误"请求转到不同的日志,如下所示:
11/Jan/2020:06:27:59 +0100 : 192.0.2.1 : 403 : 154 : GET : - : "GET /admin/ HTTP/1.1" ...
11/Jan/2020:06:28:00 +0100 : 192.0.2.2 : 400 : 166 : - : - : "145.ll|'|'|SGFjS2...
你的监狱可以类似于这个:
[nginx-ban-bots]
port = http,https
logpath = /var/log/nginx/access_bad.log
backend = auto
filter =
# ban all but ignore 401 Unauthorized for empty user (: - :) and 404 (and 499 cancel request)...
failregex = ^s*: <HOST> :(?: (?!40[14]|499)[45]d{2} :| 401 : d+ : S* (?!: - :))
enabled = true
重新加载失败2ban,所有机器人都将消失。
更多信息在fail2ban/wiki/Best-practice#reduce-parasitic-log-traffic中。
如果您的页面足够安全,因此您可以说"我们的页面上没有断开的链接",因此您几乎没有 404 错误,那么一个聪明的技巧也可能是禁止入侵者对每个不存在的页面进行大规模尝试。
因此,您可以在map $status ...指令中注释或删除404,以及从 failregex 的[14]中删除4,并可能增加maxretry(和findtime(以避免一些误报。
使用此策略,您无需为任何人工 URL 创建所有 nginx 位置来匹配每次机器人尝试(如果利润丰厚的 URL 列表发生变化,它明天也会起作用(......
您也可以尝试我们最新的 fail2ban 版本 (0.11( 和增量禁止,然后您可以启用
bantime.increment并将初始bantime设置为一些较低的值,如30s(对于可能的误报(,但所有被称为"坏"入侵者的禁令都会随着下一次禁止(在反复尝试后(而延长。