регулярное выражение fail2ban правила

Я настраиваю Fail2ban на своем сервере, недавно у меня появилось много плохих ботов, которые сканируют мой сайт, потому что мой SQL-сервер не работает

Из моих журналов Apache2

51.255.65.13 - - [10/Dec/2017:12:03:19 +0800] "GET /crew/nm0935095-gary-winick HTTP/1.0" 200 17985 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
51.255.65.30 - - [10/Dec/2017:12:03:31 +0800] "GET /movie/tt0498567-summer-time-machine-blues HTTP/1.0" 200 17658 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"
217.182.132.190 - - [10/Dec/2017:12:03:36 +0800] "GET /movie/tt1705064-genji-monogatari:-sennen-no-nazo/ HTTP/1.0" 200 17344 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.2; +http://ahrefs.com/robot/)"

как создать failregex для "ahrefs.com"?

Огромное спасибо


regex fail2ban
person Yooniks    schedule 11.12.2017    source источник
comment
Вам не нужен fail2ban, вы хотите, чтобы правила Apache запрещали реферерам. Простой поиск в Google для Apache deny referrer откроет множество ресурсов по этой теме.   -  person Chase    schedule 11.12.2017
comment
Спасибо, это временно, но я проверил журнал, бот все еще работает после нескольких ошибок 500, он все еще сканирует мой сайт :(   -  person Yooniks    schedule 11.12.2017

Ответы (1)


arrow_upward
0
arrow_downward

Чтобы поймать все, что содержит "ahrefs.com", ваш failregex будет выглядеть следующим образом:

failregex = ^<HOST>.*ahrefs\.com.*

Если тег <HOST> встроен в Fail2ban как псевдоним для (?:::f{4,6}:)?(?P<host>\S+):

https://www.fail2ban.org/wiki/index.php/Apache

person KDjukic    schedule 08.01.2018