通常のアクセスはほとんどないのに、諸々のスキャンなどのアクセスはそこそこあるという状態なので、目立つものからfail2banの設定に落とし込み
といっても、詳しいわけではないので考え方としてあっているかはまだ分からない
[Definition]
failregex = ^<HOST>.*"(GET|POST).* HTTP/1.0" 40.? .*$
^<HOST>.*"(GET|POST).*/.(env|git).*" .*$
^<HOST>.*"(GET|POST).*/query.*" .*$
^<HOST>.*"(GET|POST).*/dns-query.*" .*$
^<HOST>.*"(GET|POST).*/cgi-bin/luci/.*" .*$
^<HOST>.*"(GET|POST).*/PHP/eval-stdin.php.*" .*$
^<HOST>.*"(HEAD|CONNECT).*" 40.? .*$
ignoreregex = 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
コメント