服务器全面使用 Fail2Ban 初见成效

2019-07-1816:59:02 9 420
摘要

站点、服务器的安全防御说起来好像很“高大上”,其实明月总结就是四个字儿“未雨绸缪”,提早防范才是安全防御最有效的解决之道,防患于未然才能让损失降到最低。最后奉劝各位站长不要再抱着“自己的小站点没有被黑、被攻击的意义”这种幼稚的想法了,很多恶意的行为都是自动脚本和爬虫蜘蛛的,它们可不管你是大站还是小站,只要是个站点就不会放过!

自从折腾完重置服务器后,重新梳理了 Fail2Ban 的配置和监狱规则后已经过去半个月之久了,今天明月分析了一下 Fail2Ban 的拦截屏蔽 IP 地址后发现效果出奇的好。今天就将总结分析分享给大家,本文不是技术类文章,最多算是服务器、网站安全防御思路性文章。

使用 Fail2Ban 的初衷其实就是为了防止服务器 SSH 被暴力破解的,这次重置服务器后静心梳理了一下后发现 Fail2Ban 其实还可以干更多的的事儿,比如频繁的返回结果 404 的请求、恶意 WordPress 登录和暴力破解注入扫描请求、恶意采集脚本、恶意镜像等等司空见惯的奇葩垃圾请求都可以通过 Fail2Ban 来捕捉和屏蔽拦截,所以这次明月全都给用上了。

熟悉明月的都知道明月做着 N 个服务器的运维并且还接受企业、个人网站和服务器的托管业务,在自己的服务器上使用了一周左右感觉很不错就也给托管网站的服务器也使用了 Fail2Ban,没有想到效果出奇的好!两周不到的时间已经收集拦截屏蔽了近 100 多个 IP 地址了,通过查询 IP 地址所在地基本可以判定都是些垃圾 IP,如下图所示:

服务器全面使用 Fail2Ban 初见成效

上图所示的 IP 地址,是 Fail2Ban 拦截到的向 WordPress 的 wp-login.php 发出的恶意登录请求的 IP 地址,从上图的 IP 地址所在地可以看出分布很广,可以说都是恶意的,至于是人还是机器、脚本那就不清楚了,总之,这些请求对于站点以及服务器都不是利好,拦截屏蔽掉是必须的。

服务器全面使用 Fail2Ban 初见成效

上图是 Fail2Ban 拦截的服务器接收到的执行 PHP 脚本的 IP 地址,这种请求一般都是尝试将某些 PHP 行为用于恶意目的。据说不少采集、镜像行为都是这种方式来达到目的,这些请求只有 Nginx 的日志文件会记录,在网站前端是不可能发现和感觉到的。

上面两个截图仅仅是 Fail2Ban 两个监狱规则拦截到的 IP 记录地址所在地的查询结果,更多的 Fail2Ban 监狱规则大家可以参考【使用 Fail2Ban 保护 Nginx、WordPress 简单又高效】和【Fail2Ban 使用技巧和心得汇总】两篇技术文章。今天拿出来分享给大家就是要告诉大家现在的互联网有多么的肮脏和疯狂,服务器、网站的安全并不仅仅是 DDoS 攻击一种,还有更多是隐藏在后端默默的进行着,等你发现的时候基本已经为时已晚了都,比如恶意镜像、恶意采集等等行为。

明月在 QQ 群里经常听到站长们抱怨自己的服务器经常出现负载飙升现象,其实这基本上可以判定这个服务器已经被入侵或者说被植入了恶意的代码了,负载飙升的原因就是这些恶意代码被执行了正在向外发送请求,因为请求链接大部分是海外网址,所以负载自然也就升高了。至于这些恶意代码是怎么来的?不是插件就是主题隐藏的,还有就是各种扫描器、恶意请求的这些通常是尝试通过尝试触发缓冲区溢出来尝试利用 Web 服务器的迹象。

Fail2Ban 的原理其实很简单就是实时的跟踪分析站点日志文件,发现某个请求触发了某个监狱规则(filter)后就记录下这个请求发出的 IP 地址,当这个请求达到了设定的多少时间多少次后就直接在防火墙(iptables)里屏蔽这个 IP,并且可以设定屏蔽 IP 的时间长久,到期自动解封。可以说非常的智能和人性化了,如果你的服务器总是发生负载飙升的话,明月建议你用 Fail2Ban 试试,效果出奇的好。

站点、服务器的安全防御说起来好像很“高大上”,其实明月总结就是四个字儿“未雨绸缪”,提早防范才是安全防御最有效的解决之道,防患于未然才能让损失降到最低。最后奉劝各位站长不要再抱着“自己的小站点没有被黑、被攻击的意义”这种幼稚的想法了,很多恶意的行为都是自动脚本和爬虫蜘蛛的,它们可不管你是大站还是小站,只要是个站点就不会放过!

历史文章推荐:

  • 本博客公众号
  • 扫一扫关注!
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:9   其中:访客  5   博主  4

    • 李峰博客 李峰博客 2

      这个功能很好,收藏,等需要的时候用上

      • 心灵博客 心灵博客 3

        是的,如果Fail2Ban只是用来保护ssh那么真是大材小用了。

        • boke112导航 boke112导航 9

          最怕的就是这种垃圾IP,有些爬取或访问(攻击)太频繁了

          • 鸟叔 鸟叔 3

            这么多流量啊,牛B

            • 弥雅 弥雅 6

              是的,未雨绸缪这词用的很好!