Evita manipulaciones de URL, incluyendo / proc y / etc con fail2ban

-1

Recibo muchos ataques en mi servidor apache de Debian que incluyen manipulaciones de URL como

http://url_on_my_eserver/?username=/etc/passwd

¿Cómo puedo bloquear estos ataques?

    
pregunta rubo77 17.12.2012 - 13:42
fuente

1 respuesta

1

Fail2Ban nunca debe ser su primera línea de defensa, después de que administre correctamente la entrada , puede utilizar Fail2Ban utilizando a failregex como esto

failregex = ^<HOST> -.*GET.*\/etc\/passwd

Otro filtro de uso común para bloquea la Inyección de archivos PHP / Ataques de inclusión

[php-url-fopen]

enabled = true
port    = http,https
filter  = php-url-fopen
logpath = [YOUR_ACCESS_LOG_PATH]
maxretry = 1

Puedes incluir eso en tu jail.conf

Actualización: Como respuesta a su comentario, puede usar varias líneas en logpath , por ejemplo:

logpath = /somepath/*wild/log
          /some/other/path/log
    
respondido por el Adi 17.12.2012 - 15:53
fuente

Lea otras preguntas en las etiquetas