有什么开源工具能自动分析 nginx 日志,发现 sqlmap 这类漏洞扫描工具构造的 payload 就自动调 iptables 拉黑 IP 吗?
edis0n0 · 2022-09-10 12:01:33 +08:00 · 3114 次点击这是一个创建于 792 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
0TSH60F7J2rVkg8t 2022-09-10 12:07:50 +08:00  1
Fail2ban 应该可以
|
 |
2
seers 2022-09-10 12:09:12 +08:00
fail2ban 可以监控 nginx log
|
 |
3
yidinghe 2022-09-10 12:13:38 +08:00 via Android
直接返回 2
|
|
5
yidinghe 2022-09-10 12:16:59 +08:00 via Android
日,上个回复没写完就发送了。一个 IP 背后可能很多用户,建议遇到这种请求,nginx 返回 200 空内容就好,对方只是探测漏洞而非 DDOS 。
|
 |
8
eason1874 2022-09-10 13:00:00 +08:00
用 ngx_lua 可以通过 lua 代码处理 nginx 请求
在 log_by_lua 记录异常 IP 写入一个文本文件,开个定时 shell 把文件里的 IP 加入 iptables |
 |
9
ZeroClover 2022-09-10 14:46:40 +08:00
问题是为什么要让 fail2ban 去识别 payload ,这是 WAF 应该干的事情。
我用的 nginx ModSecurity 去识别异常请求,然后输出一条日志,fail2ban 根据日志去 BAN 掉请求来源 IP 。 |
 |
10
aaa5838769 2022-09-10 17:07:37 +08:00
可以上 waf ,或者自己研究免费的 NGINX waf 策略。
|
 |
11
cloudsigma2022 2022-09-10 17:08:30 +08:00
elk,
|
 |
12
zsj950618 2022-09-10 20:47:39 +08:00 via Android
crowdsec
|
 |
13
yanwen 2022-09-10 21:05:54 +08:00
貌似 宝塔 就有这个功能。宝塔也有开源版。
|
 |
14
ByteCat 2022-09-11 03:46:09 +08:00
waf ?
|
Select Language