典型的攻击场景

mdarafathossain

为此，请使用文本编辑器将文件 /etc/fail2ban/jail.local 添加到文件中。 该文件以 [DEFAULT] 部分开头。如果未对某些 jail 进行单独设置，您将在此处找到 Fail2Ban 使用的所有设置，例如 [DEFAULT] maxretry = 6 此设置意味着用户有六次尝试失败的可能，之后 jail 会阻止他们。对于输错密码的用户，这是一个合理的容忍限度。但对于黑客或恶意机器人则不然。您可以为每个 jail 单独设置“maxretry”参数（以及几乎所有其他 Fail2Ban jail 参数）。任何行为像恶意机器人或黑客的人在第一次尝试后都无法再访问您的服务器。因此，不要编辑默认设置的“maxretry”，而要将“plesk-apache-badbot” jail 设置为“1”。无论如何，“1”是新 Plesk 安装的默认值，但我的测试安装是从 Plesk 12、17、17.5 开始的升级，其中此值可能仍然更大。

也许您处于同样的情况，应该编辑该值？ 在 /etc/fail2ban/jail.local 文件中，向下滚动到 [plesk-apache-badbots] 部分并 电报号码数据 更改那里的“maxretry”条目。如果还没有，只需添加它： [plesk-apache-badbots] maxretry = 1 您还应该严格控制阻止时间（“bantime”）。[DEFAULT] 的常用 bantime 条目是 300 或 600 秒，即 5 分钟或 10 分钟。这对于不小心输错密码的用户来说很有意义。但是，您可以毫不犹豫地立即锁定恶意机器人和黑客很长时间，例如整整一个月。现在它看起来是这样的： [plesk-apache-badbots] maxretry = 1 bantime = 30d 您可能会说 30 天太长了，因为 IP 地址会动态变化，合法用户可能会重复使用，这样他们就无法访问您的网站了。但是，根据我的经验，攻击不是来自拨号线路，而是来自受感染的网站。这些网站通常根本不会联系您的服务器，所以我认为长期禁止来自恶意网站的请求是安全的。但毕竟，要禁止多长时间取决于您自己。




您无需设置常用的“findtime”参数，因为第一次尝试访问已被“maxretry = 1”识别并阻止。因此，在一定时间内进行多少次进一步的访问尝试并不重要。 保存更改。为了使 /etc/fail2ban/jail.local 中的更改生效，您必须重新加载一次 Fail2Ban： # systemctl reload fail2ban 如何打击恶意机器人 apache-badbots 过滤器是从原始 Fail2Ban 资源安装的。但自 2013 年以来，Fail2Ban 维护人员一直没有更新它。从那时起，很多事情都发生了变化。您的 apache-badbots 过滤器很可能已经过时了，所以是时候更新它并使其更有效了。 我们建议使用以下内容更新坏机器人列表。它基于从User Agents收集的用户代理构建，并由Yaroslav Halchenko 的 Github 资源转换为 Fail2Ban 过滤文件，并丰富了从日常网络托管业务经验中获取的一些额外内容。