Les attaques w00tw00t sur votre serveur peuvent être très gênantes et utilisent des ressources inutilement. Il est pourtant très simple de les bloquer grâce à fail2ban.
Si vous n’avez pas encore fail2ban, empressez vous d’installer ce logiciel fantastique ( apt-get install fail2ban sous Debian / Ubuntu).
La première étape consiste à créer un filtre pour les logs nginx, commencez donc par créer un fichier /etc/fail2ban/filter.d/nginx-w00tw00t.conf avec le contenu suivant :
1 2 3 4 |
[Definition] failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".* ignoreregex = |
Editez ensuite votre fichier /etc/fail2ban/jail.conf et ajoutez
1 2 3 4 5 6 7 8 |
[nginx-w00tw00t] enabled = true port = http filter = nginx-w00tw00t logpath = /var/log/nginx/access.log maxretry = 1 bantime = 172800 |
Avec ces paramètres, fail2ban va bloquer chaque robot pendant 2 jours.
N’hésitez pas à tester votre configuration à l’aide de la commande fail2ban-regex : fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-w00tw00t.conf .
Vous pouvez consulter le résultat des bans dans le fichier /var/log/fail2ban.log.
Filtre Fail2Ban | Duy PHAM
[…] C’est en place. Pour cela, je me suis inspiré de la page suivante : Blob. […]