Hallo nochmals,
Info vorne weg fail2ban scheint nun endlich anständig zu laufen
Hab da gerade einmal eine 1 wöchige Testphase angesetzt.
Nun aber zu meiner nächsten "Problematik".
hat jemand bereits eine Lösung gefunden, wie man die W00tW00t und proxyheader etc sperren kann?
Es steckt ja überall ein Muster dahinter
jede Zeile, enthält:
domain.tld:port zuBlockendeIp - - DATE "GET ******* HTTP/1.1" .........
Das muss man doch in einer RegEx abbilden können...
Leider bin ich mit den Exen nicht so fit und habe heute den ganzen Tag herum probiert und letztendlich doch alles gelöscht, weils nicht klappen wollte.
Die Regexen, die man im internet findet, und welche auch sinnvoll erscheinen die greifen jedoch leider alle nicht (siehe zweiten Anhang)
(domainname durch domain.tld:80 ersetzt!)
domain.tld:80 58.218.199.147 - - [30/Aug/2011:12:03:01 +0200] "GET http://www.shopsline.com/proxyheader.php HTTP/1.1" 404 537 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domain.tld:80 31.210.72.42 - - [30/Aug/2011:18:05:17 +0200] "GET /user/soapCaller.bs HTTP/1.1" 404 471 "-" "Morfeus Fucking Scanner"
domain.tld:80 94.102.209.211 - - [30/Aug/2011:18:22:52 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 509 "-" "-"
domain.tld:80 58.218.199.147 - - [30/Aug/2011:20:43:39 +0200] "GET http://www.silkool.com/cgi-bin/son!fuckyou.php HTTP/1.1" 404 543 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domain.tld:80 58.218.199.250 - - [30/Aug/2011:20:44:49 +0200] "GET http://ppcfinder.net/judge.php HTTP/1.1" 404 527 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domain.tld:80 58.218.199.227 - - [30/Aug/2011:20:52:06 +0200] "GET http://financeande.com/feed/feed.php HTTP/1.1" 404 533 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
domain.tld:80 109.203.96.174 - - [30/Aug/2011:21:09:05 +0200] "GET /horde//README HTTP/1.1" 404 469 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
domain.tld:80 195.50.168.2 - - [30/Aug/2011:23:40:30 +0200] "HEAD / HTTP/1.0" 200 229 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)"
domain.tld:80 58.218.199.250 - - [31/Aug/2011:00:13:05 +0200] "GET http://218.83.152.252/judge112233.php HTTP/1.1" 404 534 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
hier versuchte ich nur die w00tw00t zu ergreifen
Results
=======
Failregex
|- Regular expressions:
| [1] ^ -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*
|
`- Number of matches:
[1] 0 match(es)
Ignoreregex
|- Regular expressions:
|
`- Number of matches:
Summary
=======
Sorry, no match
Look at the above section 'Running tests' which could contain important
information.
Alles anzeigen
Ich weiß viele Sagen nun sicher ich kann diese getrost ignorieren...
Jedoch bin ich von Grund auf Misstrauisch und somit vorsichtig
Vielleicht hat ja jemand eine Idee, wie man dieses als Regex abbilden könnte oder es hat bereits jemand soetwas schon implementiert.
Liebe Grüße Steffen