V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
edis0n0
V2EX  ›  信息安全

有什么开源工具能自动分析 nginx 日志,发现 sqlmap 这类漏洞扫描工具构造的 payload 就自动调 iptables 拉黑 IP 吗?

  •  
  •   edis0n0 · 2022-09-10 12:01:33 +08:00 · 3141 次点击
    这是一个创建于 815 天前的主题,其中的信息可能已经有所发展或是发生改变。
    14 条回复    2022-09-11 03:46:09 +08:00
    0TSH60F7J2rVkg8t
        1
    0TSH60F7J2rVkg8t  
       2022-09-10 12:07:50 +08:00   ❤️ 1
    Fail2ban 应该可以
    seers
        2
    seers  
       2022-09-10 12:09:12 +08:00
    fail2ban 可以监控 nginx log
    yidinghe
        3
    yidinghe  
       2022-09-10 12:13:38 +08:00 via Android
    直接返回 2
    edis0n0
        4
    edis0n0  
    OP
       2022-09-10 12:15:42 +08:00
    @ahhui
    @seers 怎么识别漏洞扫描工具构造的 payload 呢
    yidinghe
        5
    yidinghe  
       2022-09-10 12:16:59 +08:00 via Android
    日,上个回复没写完就发送了。一个 IP 背后可能很多用户,建议遇到这种请求,nginx 返回 200 空内容就好,对方只是探测漏洞而非 DDOS 。
    edis0n0
        6
    edis0n0  
    OP
       2022-09-10 12:18:56 +08:00
    @yidinghe #5 问题是我没办法精准识别哪些是漏洞扫描工具探测漏洞的 payload ,肯定会有漏的
    seers
        7
    seers  
       2022-09-10 12:19:16 +08:00
    @edis0n0 正则+白名单呗,没必要识别
    eason1874
        8
    eason1874  
       2022-09-10 13:00:00 +08:00
    用 ngx_lua 可以通过 lua 代码处理 nginx 请求

    在 log_by_lua 记录异常 IP 写入一个文本文件,开个定时 shell 把文件里的 IP 加入 iptables
    ZeroClover
        9
    ZeroClover  
       2022-09-10 14:46:40 +08:00
    问题是为什么要让 fail2ban 去识别 payload ,这是 WAF 应该干的事情。

    我用的 nginx ModSecurity 去识别异常请求,然后输出一条日志,fail2ban 根据日志去 BAN 掉请求来源 IP 。
    aaa5838769
        10
    aaa5838769  
       2022-09-10 17:07:37 +08:00
    可以上 waf ,或者自己研究免费的 NGINX waf 策略。
    cloudsigma2022
        11
    cloudsigma2022  
       2022-09-10 17:08:30 +08:00
    elk,
    zsj950618
        12
    zsj950618  
       2022-09-10 20:47:39 +08:00 via Android
    crowdsec
    yanwen
        13
    yanwen  
       2022-09-10 21:05:54 +08:00
    貌似 宝塔 就有这个功能。宝塔也有开源版。
    ByteCat
        14
    ByteCat  
       2022-09-11 03:46:09 +08:00
    waf ?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1273 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:34 · PVG 07:34 · LAX 15:34 · JFK 18:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.