我最近在服务器上首次安装了Debian Jessie。 “显而易见”的失败早在这个过程中就已经build立起来了。
这是禁止IP地址,并发送给我的电子邮件好,但基于Apache的不包含任何相关日志文件的摘录。 例如,基于SSH的。
Apache报告示例:
嗨, 之后,IP 193.201.227.112刚刚被Fail2Ban禁止 5次对apache-xmlrpc的尝试。 这里是更多的关于193.201.227.112的信息。 (关于它的信息被删除) 包含IP的行:193.201.227.112位于/home/*/logs/*access.log 问候, 的fail2ban
SSH报告示例:
嗨, 之后,Fail2Ban刚刚禁止IP 184.173.26.138 3次反对ssh。 这里是详细的关于184.173.26.138的信息。 (关于它的信息被删除) 在/var/log/auth.log中包含IP:184.173.26.138的行 11月5日08:21:38例如sshd [20158]:无效的用户密码从184.173.26.138端口51131失败的密码ssh2 11月5日08:21:38例子sshd [20158]:错误:收到从184.173.26.138断开连接:3:com.jcraft.jsch.JSchException:身份validation失败[preauth] 问候, 的fail2ban
/etc/fail2ban/jail.local解压:
action =%(action_mwl)s #JAILS [SSH] enabled = true maxretry = 3 (..) [Apache的XMLRPC] enabled = true 端口= http,https action =%(action_mwl)s filter = apache-xmlrpc logpath = /home/*/logs/*access.log maxretry = 5
Debian Wheezy(包括两者中的日志文件行)和Jessie之间有什么变化?
在pastebin.com/qK8ARrsz的Apache报告中丢失的日志文件和行的详细信息(在这里触发假阳性垃圾邮件错误!)
(稍后添加)/var/log/fail2ban.log不是抱怨:
2015-11-04 23:27:08,862 fail2ban.actions [1993]:WARNING [ssh] Ban 109.161.203.139 2015-11-04 23:38:58,786 fail2ban.actions [1993]:WARNING [ssh] Unban 59.47.0.148 2015-11-05 00:55:53,869 fail2ban.actions [1993]:WARNING [ssh]禁止14.29.113.190 2015-11-05 00:57:38,031 fail2ban.actions [1993]:WARNING [ssh]禁止109.161.216.214 2015-11-05 05:47:06,644 fail2ban.filter [1993]:警告使用DNS查找确定IP:mbl-109-61-47.dsl.net.pk = ['124.109.61.47'] 2015-11-05 05:47:13,282 fail2ban.actions [1993]:警告[ssh]禁止124.109.61.47 2015-11-05 08:00:20,049 fail2ban.actions [1993]:WARNING [apache-xmlrpc]禁止193.201.227.112 2015-11-05 08:21:36,278 fail2ban.filter [1993]:警告使用DNS查找确定IP:8a.1a.adb8.ip4.static.sl-reverse.com = ['184.173.26.138'] 2015-11-05 08:21:39,333 fail2ban.filter [1993]:警告使用DNS查找确定IP:8a.1a.adb8.ip4.static.sl-reverse.com = ['184.173.26.138'] 2015-11-05 08:21:39,858 fail2ban.actions [1993]:WARNING [ssh]禁止184.173.26.138
一方面,这不是一个大问题,因为他们仍然被禁止,但另一方面,我特别使用一个Apachefilter来查看nasties到处search的文件 – fckeditor或者uploadify.php等 – 这样他们可以被禁止。
谢谢。