Ajoutez un filtre fail2ban contre les attaques w00tw00t avec nginx
Les attaques w00tw00t sur votre serveur peuvent être très gênantes et utilisent des ressources inutilement. Il est pourtant très simple de les bloquer grâce à fail2ban.
Si vous n’avez pas encore fail2ban, empressez vous d’installer ce logiciel fantastique ( apt-get install fail2ban sous Debian / Ubuntu).
La première étape consiste à créer un filtre pour les logs nginx, commencez donc par créer un fichier /etc/fail2ban/filter.d/nginx-w00tw00t.conf avec le contenu suivant :
|
1 2 3 4 |
[Definition] failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".* ignoreregex = |
Editez ensuite votre fichier /etc/fail2ban/jail.conf et ajoutez
|
1 2 3 4 5 6 7 8 |
[nginx-w00tw00t] enabled = true port = http filter = nginx-w00tw00t logpath = /var/log/nginx/access.log maxretry = 1 bantime = 172800 |
Avec ces paramètres, fail2ban va bloquer chaque robot pendant 2 jours.
N’hésitez pas à tester votre configuration à l’aide de la commande fail2ban-regex : fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-w00tw00t.conf .
Vous pouvez consulter le résultat des bans dans le fichier /var/log/fail2ban.log.