Баним ребят, желающих использовать наш Apache как прокси для своих неведомых нужд.
Впрочем, возможно на этот раз в логах отметились не прыщавые подростки, а вполне себе государственные служащие, денно и нощно воздвигающие «Великий китайский файрвол».
Следы выглядят примерно так:
58.218.***.*** - - [13/Oct/2011:20:08:42 +0000] "GET http://www.shopsline.com/proxyheader.php HTTP/1.1" 404 505 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:20:08:33 +0000] "GET http://www.foodnese.com/indux.php HTTP/1.1" 404 498 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:21:08:18 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:22:38:08 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:23:08:13 +0000] "GET http://www.travelimgusa.com/ip.php HTTP/1.1" 404 499 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:23:18:23 +0000] "GET http://www.seektwo.com/proxy-1.php HTTP/1.1" 404 499 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:23:21:45 +0000] "GET http://www.eduju.com/proxyheader.php HTTP/1.1" 404 501 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:23:48:13 +0000] "GET http://www.eduju.com/proxyheader.php HTTP/1.1" 404 501 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 58.218.***.*** - - [13/Oct/2011:23:51:13 +0000] "GET http://98.126.***.***/judge123.php HTTP/1.1" 403 502 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" и тому подобное...
Как бы то ни было — будем лечить с помощью всё того же fail2ban.
Это собственно фильтр:
[Definition] # Matches lines such as: # 192.168.1.1 - - "GET http://www.shopsline.com/proxyheader.php ... failregex = ^(?:(?![0-9\.]* -.*"[A-Z]* (/|.*HTTP/1\.[0-9]" (301|302)))) ignoreregex =
Включаем как обычно, банить лучше сразу (maxretry = 0) и на неделю (bantime = 604800) Ибо нефиг.
Добавить комментарий