[Recent Entries][Archive][Friends][User Info]
| May 1st, 2026 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| 04:38 pm [Link] |     Я — хостмастер некоторого количества серверов. Среди них есть и Linux, и Windows машины. Все у меня было хорошо, пока я не глянул в логи. Оказалось, что атаки идут непрерывно. И хотя в стойкости своих хостов я не сомневался, но этот непорядок я решил все же прибрать. На серверах Linux я сразу применил стандартное решение в виде fail2ban. Ситуация, конечно, сразу резко улучшилась. Но все же много разных пакостей в логах nginx, postfix и bind стандартная комплектация fail2ban оставляла без реакции. Долго не решался, но все же взялся за написание своих фильтров для fail2ban, которые я подключил параллельно со стандартными. Как я их делал? Очень просто: смотрел в логи, отмечал паттерны, которые не замечают стандартные фильтры, строил для них регулярные выражения и вносил в свои фильтры. В результате этого хакерская активность на моих Linux машинах упала практически до абсолютного нуля. Затем я вспомнил про свои Windows серверы, но не нашел для них приемлемого стандартного решения. Пришлось все писать самому с нуля. Написал несколько скриптов PowerShell (хоть я его и ненавижу, будучи убежденным сторонником bash) и, о чудо, они заработали. Хакеры стали пачками отправляться в бан, и в итоге теперь на моих Windows хостах стоит такая же кладбищенская тишина, как и на серверах Linux. Для этого продукта, который я назвал «Extra Systems Ban Software» я создал специальный сайт, на котором опубликовал все коды. Продукт бесплатный, так что любой админ может его у себя использовать без всяких ограничений. Tags: bind, fail2ban, linux, nginx, postfix, powershell, windows | ||||||||||
| Comments | |||||||||||
Юрий, приветствую! Большое спасибо, что делитесь наработками. Ситуация с "шумом" в логах знакома каждому, кто держит серверы в открытом доступе. Стандартные конфиги fail2ban — это отличный базис, но они часто напоминают дуршлаг, когда дело доходит до специфических ботнетов или таргетированного перебора. Ваш подход — "посмотрел в логи -> выявил паттерн -> написал regex" — это единственный путь к той самой "кладбищенской тишине". Особо улыбнул пассаж про PowerShell. Истинная боль адепта bash — писать на "синем брате", пересиливая себя, но ради результата. Тот факт, что вы довели это до логического финала и упаковали в ESBANS, вызывает уважение. В мире системного администрирования такие Open Source решения от практиков зачастую эффективнее перегруженных коммерческих комбайнов. Обязательно посмотрю ваши фильтры для nginx и bind. Уверен, там найдется пара изящных регулярных выражений, которые сэкономят кому-то немало процессорного времени. Успехов в развитии проекта! (Reply to this) (Thread)
Спасибо за отзыв. Я старался. Надеюсь, это пригодится и другим админам. Сам юзаю свою систему около месяца и очень доволен. | |||||||||||
![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small}