有什么开源工具能自动分析 nginx 日志,发现 sqlmap 这类漏洞扫描工具构造的 payload 就自动调 iptables 拉黑 IP 吗?

2022-09-10 12:01:33 +08:00
 edis0n0
3120 次点击
所在节点    信息安全
14 条回复
0TSH60F7J2rVkg8t
2022-09-10 12:07:50 +08:00
Fail2ban 应该可以
seers
2022-09-10 12:09:12 +08:00
fail2ban 可以监控 nginx log
yidinghe
2022-09-10 12:13:38 +08:00
直接返回 2
edis0n0
2022-09-10 12:15:42 +08:00
@ahhui
@seers 怎么识别漏洞扫描工具构造的 payload 呢
yidinghe
2022-09-10 12:16:59 +08:00
日,上个回复没写完就发送了。一个 IP 背后可能很多用户,建议遇到这种请求,nginx 返回 200 空内容就好,对方只是探测漏洞而非 DDOS 。
edis0n0
2022-09-10 12:18:56 +08:00
@yidinghe #5 问题是我没办法精准识别哪些是漏洞扫描工具探测漏洞的 payload ,肯定会有漏的
seers
2022-09-10 12:19:16 +08:00
@edis0n0 正则+白名单呗,没必要识别
eason1874
2022-09-10 13:00:00 +08:00
用 ngx_lua 可以通过 lua 代码处理 nginx 请求

在 log_by_lua 记录异常 IP 写入一个文本文件,开个定时 shell 把文件里的 IP 加入 iptables
ZeroClover
2022-09-10 14:46:40 +08:00
问题是为什么要让 fail2ban 去识别 payload ,这是 WAF 应该干的事情。

我用的 nginx ModSecurity 去识别异常请求,然后输出一条日志,fail2ban 根据日志去 BAN 掉请求来源 IP 。
aaa5838769
2022-09-10 17:07:37 +08:00
可以上 waf ,或者自己研究免费的 NGINX waf 策略。
cloudsigma2022
2022-09-10 17:08:30 +08:00
elk,
zsj950618
2022-09-10 20:47:39 +08:00
crowdsec
yanwen
2022-09-10 21:05:54 +08:00
貌似 宝塔 就有这个功能。宝塔也有开源版。
ByteCat
2022-09-11 03:46:09 +08:00
waf ?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/879087

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX