Estou tentando descobrir como escrever uma regra ModSecurity que bloqueie o IP do servidor por um período de tempo quando esse IP estiver gerando uma certa quantidade de erros 403 e estou lutando para escrever a regra. Alguém tem alguma ideia de como seria essa regra?
Fail2Ban é a ferramenta correta para isso. Ele pode ler logs do ModSecurity e banir endereços IP com base neles. Ele vem com um filtro para ModSecurity 2 que pode ser habilitado em, por exemplo
/etc/fail2ban/jail.d/apache.conf
:Você pode querer ajustar o
maxretry
padrão para2
o que parece bastante agressivo.