Ottengo molti attacchi al mio server debian Apache che include manipolazioni di URL come
http://url_on_my_eserver/?username=/etc/passwd
Come posso bloccare questi attacchi?
Fail2Ban non dovrebbe mai essere la tua prima linea di difesa, dopo gestire correttamente l'input puoi utilizzare Fail2Ban usando un failregex come questo
failregex = ^<HOST> -.*GET.*\/etc\/passwd
Un altro filtro comunemente usato per blocca l'iniezione di file PHP / Attacchi di inclusione
[php-url-fopen]
enabled = true
port = http,https
filter = php-url-fopen
logpath = [YOUR_ACCESS_LOG_PATH]
maxretry = 1
Puoi includerlo nel jail.conf
Aggiornamento:
Come risposta al tuo commento, puoi utilizzare più righe in logpath , ad esempio:
logpath = /somepath/*wild/log
/some/other/path/log
Leggi altre domande sui tag apache