Esqueci de atualizar minha configuração do fail2ban para o nginx. Acabei de me mudar para o nginx do apache.
Hoje recebi muitas mensagens de um único IP.
IP tentou acessar páginas de login com post e obter métodos
IP tentou usar nginx como um proxy (GET http: / ...)
Imagens pesquisadas por IP, js, pastas css
IP tentou injetar -d url_allow_fopen = 1 e algo similar.
A maioria das chamadas terminou com 404.
http {
limit_req_zone $binary_remote_addr zone=app:10m rate=5r/s;
...
server {
...
location / {
limit_req zone=app burst=50;
}
Eu recebi aproximadamente 50 solicitações desse ip por um segundo. Então eu atualizei meu nginx como o acima. Será que vai evitar muitas conexões por segundo agora?
Atualizei meu fail2ban jail.local para oferecer suporte ao nginx.
Estou confuso com o nginx-noscript.conf
[Definition]
failregex = ^<HOST> -.*GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\scgi)
ignoreregex =
Eu estou servindo php com nginx. Eu verifiquei noscript.conf do apache e que tem extensão .php também. Eu testei as configurações acima antes de reiniciar o fail2ban e recebi milhares de ips correspondentes. Eu removi o php e nada correspondia.
Preciso de .php | no nginx-noscript.conf?
Usar mod_security e fail2ban juntos traz algum problema?
Quando eu estava pesquisando hoje, vim a saber que o mod_security também está disponível para o nginx. Então, eu estou planejando usá-lo também.
Tags nginx fail2ban mod-security