Essas citações ”
não parecem certas para mim você usou um editor de texto adequado para escrever sua regex? Experimente
Failregex = ^<HOST> .*"GET /w00tw00t.*"
Que de acordo com o fail2ban-regex encontra o em ambos os seus exemplos.
Eu notei um monte desses w00tw00t pedidos que chegam ao meu servidor Ubuntu 12.04 e então eu instalado fail2ban. Eu segui estas instruções na configuração do Fail2ban em relação às solicitações w00tw00t. Certifiquei-me de nomear os arquivos corretamente e reiniciar o fail2ban após a alteração da configuração.
Eu testei digitando vários parâmetros w00tw00t
no meu URL, assim como os invasores fazem, mas nenhum me baniria. Eu não adicionei meu IP a uma lista de ignorar. Eu até tentei do meu celular, ainda sem proibição.
No jail.conf eu tenho o seguinte localizado em /etc/fail2ban/jail.conf
[w00tw00t-scans]
enabled = true
action = iptables-allports
sendmail-whois[name=SSH, dest=ubuntu, [email protected]]
filter = w00tw00t
logpath = /var/log/apache2/access.log
maxretry = 1
bantime = 120 #testing so that I can verify and not be banned for a day!
Aqui está o filtro w00tw00t localizado em /etc/fail2ban/filter.d/w00tw00t.conf
#block w00tw00t scans of all variations
[Definition]
failregex = ^<HOST> .*”GET \/w00tw00t*
ignoreregex =
Eu verifiquei que o caminho do log está configurado corretamente digitando um parâmetro obscuro no meu URL, depois verifiquei access.log e com certeza estava lá. Eu também fiz questão de reiniciar o fail2ban depois que eu adicionei as regras.
Existe alguma outra configuração que eu preciso fazer fora da caixa com o fail2ban? Depois que instalei, a única coisa que fiz foi adicionar o filtro e o wootwoot bit ao jail.conf. Eu verifiquei se ele está sendo executado digitando /etc/init.d/fail2ban start
e ele responde com * Socket file /var/run/fail2ban/fail2ban.sock is present
edit - mostrando apenas a aparência da solicitação em /var/log/apache2/access.log
Aqui está uma solicitação maliciosa
67.215.248.8 - - [12/Feb/2014:18:59:42 +0000] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 1997 "-" "ZmEu"
E aqui está um pedido que fiz
My.IP.Address - - [12/Feb/2014:21:41:13 +0000] "GET /w00tw00t HTTP/1.1" 404 1928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36"
Tags fail2ban apache-2.2 ubuntu