最近我的服务器开始受到匿名扫描仪/蛮力的轰炸。
这就是攻击后我的 nginx access.log 的样子:
xxx.xxx.xxx.xxx - - [07/Sep/2019:23:30:16 +0200] "GET /phpMyAdmin/index.php HTTP/1.1" 404 548 "-" "Mozilla/5.0..
xxx.xxx.xxx.xxx - - [07/Sep/2019:23:30:18 +0200] "GET /admin/index.php HTTP/1.1" 404 548 "-" "Mozilla/5.0..
连同他们试图访问的大量其他网址/管理页面/随机名称。我做了一些研究,fail2ban 出现了。所以我安装了它。
我把它打开了一段时间,但攻击又发生了。我意识到默认设置[nginx-botsearch]并不能捕获所有攻击,更不用说它的日志路径配置错误了。
我做了一些谷歌搜索并确定了这个自定义过滤器:
# /etc/fail2ban/jail.local
[nginx-404-errors]
enabled = true
port = http,https
logpath = /var/log/nginx/*.log
maxretry = 2
# /etc/fail2ban/filter.d/nginx-404-errors.conf
[Definition]
failregex = ^<HOST>.*"(GET|POST|HEAD).*" (404|444|403|400) .*$
ignoreregex =
这工作得很好,但攻击者/s 决定点击 http。但问题是我在 nginx 上有一个 http 到 https 的重定向规则。
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$server_name$request_uri;
}
所以现在我得到了大量的 301 重定向登录access.log。我想也许我应该在301上面使用的正则表达式中添加一个。所以现在是:
failregex = ^<HOST>.*"(GET|POST|HEAD).*" (404|444|403|400|301) .*$
攻击暂时停止。但我担心普通访问者在尝试通过 http 访问该站点时可能会遇到麻烦,而 fail2ban 可能会选择他们。
这是我应该减轻这种蛮力攻击的方式吗?还是我应该采取不同的路线?
我会考虑您的页面如何在 HTML 中链接。如果您的访问者只获得https://-Links,一旦他升级到 https 的连接,您就可以保持 301-Bans 处于活动状态。如果您网站上的每一次点击都会导致 301 重定向到它的 https 等效项,那么这样做显然是不明智的。另外,我建议将 301 的合法数量增加到 10 或 15。
更成问题的是仅 2 次点击 404 页面后的禁令。这将使在您的网站上使用内容管理系统变得非常困难,因为每次尝试链接到不存在的图像或 URL 都会导致 BAN。将有效限制提高到两位数。十个 404 请求不会破坏您的服务器。即使在合法使用情况下,它们也会经常发生,尤其是在多语言站点、缺少 favicon.ico、新页面部署、延迟图像上传等...
现在最好的办法是将http重定向到https,因为http已经过时了。谷歌还将 https 页面排名高于非 http 页面。最好的办法是设置从 http 到 https 的永久重定向,这样人们就无法访问网站的 http 版本。查看你的配置,我不觉得你会遇到任何问题。如果您遇到任何问题(定期检查您的日志),请在此处发布日志,我很乐意为您提供帮助。