Recibo muchos ataques en mi servidor apache de Debian que incluyen manipulaciones de URL como
http://url_on_my_eserver/?username=/etc/passwd
¿Cómo puedo bloquear estos ataques?
Fail2Ban nunca debe ser su primera línea de defensa, después de que administre correctamente la entrada , puede utilizar Fail2Ban utilizando a failregex
como esto
failregex = ^<HOST> -.*GET.*\/etc\/passwd
Otro filtro de uso común para bloquea la Inyección de archivos PHP / Ataques de inclusión
[php-url-fopen]
enabled = true
port = http,https
filter = php-url-fopen
logpath = [YOUR_ACCESS_LOG_PATH]
maxretry = 1
Puedes incluir eso en tu jail.conf
Actualización:
Como respuesta a su comentario, puede usar varias líneas en logpath
, por ejemplo:
logpath = /somepath/*wild/log
/some/other/path/log
Lea otras preguntas en las etiquetas apache