我如何使用fail2banparsingNginx的访问日志来计数404和502的,并禁止太多的请求IP地址?
我使用fail2ban来防止我的生产服务器上的暴力攻击。 Fail2ban在5次身份validation失败后禁用IP,1小时后使用自己的configuration解除绑定。 我想知道什么是最佳禁令期限,还是我真的需要再次解除禁令呢? 永久禁止ip是最好的解决scheme?
有很多尝试连接到我的邮件服务器,以发送邮件未经身份validation或猜测用户名和密码,我想,完成相同的。 我应该反对,就像在ssh的情况下,以及如何? 只是一个说明:我有与fail2ban不好的经验。
今天早上我有一个奇怪的例子,我希望有人能帮助我了解发生了什么。 一位用户抱怨今天早上被关了。 重置密码后,我们注意到帐户几乎被瞬间locking了。 我们查看了审计日志,发现这些请求来自我们的Exchange服务器 – 这是我以前从未见过的。 我们查看了OWA日志,发现那里没有与该用户名相对应的条目。 我们禁用了OWA,ActiveSync,MAPI等,帐户继续被locking。 在查看Exchange服务器上的事件查看器日志之后,我们看到了这个条目。 入站身份validation失败,错误LogonDenied用于接收连接器默认EMAILSERVER。 身份validation机制是login。 尝试向Microsoft Exchange进行身份validation的客户端的源IP地址是[XX.XX.XX.XX]。 随处可见,我们对来自该IP地址的stream量进行了黑洞,并停止了帐户locking。 这是一个公共的IP地址,解决了一个国家,我不希望收到太多的邮件。 我的问题是: 这个IP地址是如何尝试authentication的? 我无法看到日志中的任何内容,这些内容对于我尝试login的vector而言是毫无意义的。 我怎样才能防止这种情况发生? 这是Exchange 2010 SP3,不幸的是边缘传输在这一点上不是一个可行的select:(
我想使用Exchange 2010保护Outlook Web Access免受使用帐户locking的暴力攻击 。 做这个的最好方式是什么? 我有以下的组策略: 计算机configuration\ Windows设置\安全设置\帐户策略\帐户locking策略\ 账户locking时间10分钟 帐户locking阈值5次尝试 重置账户locking计数器10分钟后
看来我的一台服务器正在经历一个复杂的ssh字典攻击,因为我看到一大堆用户名按字母顺序排列,并且密码失败。 关于这个不寻常的事情是: 每2分钟只有一次尝试 每一个尝试都来自不同的IP地址 你能帮我理解如何从不同的IP地址做到这一点吗, 它可以被有效地阻止吗? 而且攻击缓慢持续(可能需要几个月的时间才能通过字母表)意味着什么具体的? 我也有兴趣知道是否有其他人正在他们的公共ssh服务器上看到类似的活动(例如,我们是一个特定的目标,还是这个攻击者用这个攻击来掩盖成千上万的ssh服务器?) 另外,有什么方法可以让我揭示什么是密码(甚至哈希)正在尝试 ? 我注意到,每个名字只被尝试一次或两次。 我假设他们正在尝试“密码”或用户的用户名 – 但我可以validation这一点?
我看到的其中一台服务器似乎参与了针对Wordpress安装的powershell攻击。 我已经接受了这么多次,所以我非常熟悉可以采取措施来防止这种情况。 然而,我正在努力的是检测传出的攻击。 服务器是一个典型的Apache服务器,上面有许多虚拟主机 – 这当然是复杂的事情 – 如果只有一个虚拟主机,那就不会那么困难了! 我正在使用tcpflow来logging从服务器上的任何端口到使用此命令的任何其他机器上的端口80的stream量: tcpflow -i eth0 dst port 80 and src host <my_servers_ip> and port not 22 我发现这个更适合tcpdump。 通过它的输出可以稍微脑融化一段时间:) tcpflow将每个请求放入一个单独的文件.. 以下是一个我认为是可疑活动的文件输出: POST /wp-login.php HTTP/1.1 User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html) Host: somedomain.com Accept: */* Cookie: wordpress_test_cookie=WP+Cookie+check Content-Length: 97 Content-Type: application/x-www-form-urlencoded log=jacklyn&pwd=london&wp-submit=Log+In&redirect_to=http://somedomain.com/wp-admin/tes1a0&testcookie=1 请注意,我已经混淆了上面的“Host:”,我相信这是被攻击的主机(这是否正确?)。 所以我的问题真的是,我该如何去检测正在产生这种恶意stream量的虚拟主机? 如果我可以这样做,我可以让我的客户知道,他可以采取措施,调查网站,并作出必要的更改,以阻止它.. 任何解决scheme非常感激地收到:)
我有3台专用服务器,全部运行在加拿大境内的CentOS。 在最新的服务器上,cPHulk开始检测(并列入黑名单)失败的login尝试。 从服务器上线的那一天开始。 从那时起,我每天从cPHulk得到15-30封电子邮件,让我知道“大量失败的login尝试”。 我注意到所有的尝试都来自中国,所以我安装了CSF,完全封锁了中国。 几天后,袭击又回来了,但来自不同的国家。 到目前为止,我已经绝望地阻止了四个国家,但我知道这不是一个合理的解决办法。 现在他们来自我无法阻止的国家,因为我可以期待来自这些国家的合法stream量。 我也遇到了似乎与国家没有关系的IP地址的攻击,比如在这个屏幕截图中: 我并不担心他们能够猜出密码,因为我使用的密码非常强大。 所以我的问题是, 为什么他们瞄准我的服务器,他们是如何迅速find它? 我怎样才能缓解这些login尝试,而不阻止整个国家? 在截图中的IP是从哪里来的? 我唯一的猜测是,我被分配了一个可怕的声誉的IP,但我的服务器pipe理经验和知识是有限的,所以我甚至不知道这样的合理性。
我刚刚检查了我的VPS事件日志,发现有人是蛮力强制我的SQL Server SA密码和Windowspipe理员密码。 (我已经把pipe理员的帐户名更改为别的,但他们使用正确的帐户名!) 有什么我可以做,以防止他们做到这一点? 我的操作系统是Windows Server 2008 R2和SQL Server 2008 R2 Express。 编辑:似乎攻击IP地址不断变化。 所以阻止他们将需要很多努力。
我们在访问日志中看到很多对不存在的setup.php文件的请求(见下文)。 对于一些使用重写规则的客户端,这些请求中的每一个都会导致PHP脚本执行,从而导致服务器出现相当大的减速并产生不必要的stream量。 有没有可能迅速否认这种要求? 我想指定一个拒绝所有setup.php相关查询的一般拒绝规则,但这可能不是正确的方法。 有什么build议么? 217.115.202.30 – – [17/Nov/2010:09:13:35 +0100] "GET /PHPMYADMIN/scripts/setup.php HTTP/1.1" 404 2452 "-" "ZmEu" 217.115.202.30 – – [17/Nov/2010:09:13:35 +0100] "GET /PMA/scripts/setup.php HTTP/1.1" 404 2444 "-" "ZmEu" 217.115.202.30 – – [17/Nov/2010:09:13:39 +0100] "GET /PMA2005/scripts/setup.php HTTP/1.1" 404 2449 "-" "ZmEu" 217.115.202.30 – – [17/Nov/2010:09:13:47 +0100] "GET /SSLMySQLAdmin/scripts/setup.php HTTP/1.1" 404 2452 "-" "ZmEu" 217.115.202.30 – […]