Skip to main content
Netexaminer by FindLab.Net Гараж домашний
  • Наверх
  • Backdrop CMS
  • Drupal
  • Linux
  • Интересно
  • Музыка
  • Случайные цитаты
  • О гараже
  • Наверх
  • Backdrop CMS
  • Drupal
  • Linux
  • Интересно
  • Музыка
  • Случайные цитаты
  • О гараже

Linux - Встречаем скрипт-киддис, часть вторая или нет у меня для вас прокси

Опубликовано в Сб, 2011-10-29 - 19:52

Баним ребят, желающих использовать наш Apache как прокси для своих неведомых нужд.
Впрочем, возможно на этот раз в логах отметились не прыщавые подростки, а вполне себе государственные служащие, денно и нощно воздвигающие «Великий китайский файрвол».

Следы выглядят примерно так:

58.218.***.*** - - [13/Oct/2011:20:08:42 +0000] "GET http://www.shopsline.com/proxyheader.php HTTP/1.1" 404 505 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:20:08:33 +0000] "GET http://www.foodnese.com/indux.php HTTP/1.1" 404 498 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:21:08:18 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:22:38:08 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:08:13 +0000] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 404 499 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:18:23 +0000] "GET http://www.seektwo.com/proxy-1.php HTTP/1.1" 404 499 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:21:45 +0000] "GET http://www.eduju.com/proxyheader.php HTTP/1.1" 404 501 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:48:13 +0000] "GET http://www.eduju.com/proxyheader.php HTTP/1.1" 404 501 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.***.*** - - [13/Oct/2011:23:51:13 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
и тому подобное...

Как бы то ни было — будем лечить с помощью всё того же fail2ban.

Это собственно фильтр:


[Definition]
# Matches lines such as:
# 192.168.1.1 - - "GET http://www.shopsline.com/proxyheader.php ...
failregex = ^(?:(?![0-9\.]* -.*"[A-Z]* (/|.*HTTP/1\.[0-9]" (301|302))))
ignoreregex =

Включаем как обычно, банить лучше сразу (maxretry = 0) и на неделю (bantime = 604800) Ибо нефиг.

fail2ban
Linux

Добавить комментарий

Отменить

Метки

  • Backdrop CMS
  • Drupal
  • Linux
  • В небе
  • Видео
  • Музыка
  • Интересно
  • Случайные цитаты

Drop тебя поджидает

Drop
© 2011 - 2025 FindLab.Net. При перепечатке ссылка на Netexaminer.Net приветствуется.
Powered by Backdrop CMS
Написано человеком, не ИИ
↑