0x00 介绍
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙iptables屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!
fail2ban由python语言开发,基于logwatch、gamin、iptables、TCP-wrapper、shorewall等。如果想要发送邮件通知道,那还需要安装postfix或sendmail。
fail2ban在pycon2014中演讲,是一个相对成熟的第三方软件。附上大会ppt部分内容:fail2ban-pycon2014.pdf。
百度盘:
0x01安装
1) apt-get 安装
apt-get install fail2ban log watch gamin
2) yum安装
yum install fail2ban logwatch gamin
3) 源代码安装
目前有两个版本:
stable 0.8.14 beta 0.9.0
根据需要下载编译安装。
0x02 配置
安装完成后配置文件在目录/etc/fail2ban/中:
/etc/fail2ban/fail2ban.conf #fail2ban的配置文件/etc/fail2ban/jail.conf #阻挡设定文件/etc/fail2ban/filter.d/ #具体过滤规则文件目录 /etc/fail2ban/action.d/ #具体过滤规则检测到后采取相对应措施的目录
fail2ban默认有许多已经写好的规则,如ssh、ftp、proftpd等常见应用软件的支持,只需要设置enable属性为true即可启动,这里就不阐述了。
0x03 监控nginx日志
假设nginx默认日志路径为/var/log/nginx/access_log,需要防止黑客暴力破解HTTP FORM登陆,此登陆检测链接为
根据分析正常登陆一般不超过三四次,并且登陆时间一般也不超过一分钟;因此,规定检测周期为1分钟,最大尝试登陆次数为10次;在规定时间内超过指定次数则被认为是黑客在尝试暴力破解。
具体设置方法如下:
1) 首先在jail.conf文件下追加以下内容:
[nginx] ;规则名字enabled = true ;是否户用port = http,https ;监控端口filter = nginx ;需要过滤匹配规则logpath = /var/log/nginx/access_log; 日志路径findtime =60 ;检测周期 单位秒 以下一样bantime =300 ;iptable封禁IP时间maxretry =10 ;最大尝试次数action = iptables[name=nginx, port=http, protocal=tcp] ;发现暴力破解采取iptalbes封禁IP的措施sendmail[name=nginx, [emailprotected]] ;发现暴力破解后采取sendmail发送邮件的措施,需要注意的是:iptables和sendmail必须对齐,要不然会发生错误;不要问我为什么会知道,我先哭会儿-_-!!!
2)然后创建 /etc/fail2ban/filter.d/nginx.conf文件,并添加以下内容:
[Definition]failregex =.*-.*-.*POST.*/login_Check.do.* HTTP\/1.*$ ;需要匹配日志发现攻击行为的正则, 为fail2ban内置变量匹配IP,不可修改ignoreregex = ;需要忽略的正则
完成上述步骤就可以运行命令/etc/init.d/fail2ban restart重启了。查看iptables有fail2ban-nginx的规则和收到sendmail发送fail2ban已经启动的邮件就说明OK了。
不过运维的同学可能知道,sendmail发送邮件延迟很多,并不好用,使用mutt代替sendmail是个不错的选择。安装mutt的过程就不在时阐述了,这里介绍我修改使用mutt发送action的配置文件。
1)首先创建一个/etc/fail2ban/action.d/mutt.conf文件,然后添加以下内容:
# Fail2Ban configuration file## Author: Cyril Jaquier##[Definition]# Option: actionstart# Notes.: command executed once at the start of Fail2Ban.# Values: CMD#actionstart = printf %%b "Hi,\nThe jailhas been started successfully.\nRegards,\nFail2Ban"|mutt -s "[Fail2Ban] : started on `uname -n`" # Option: actionstop# Notes.: command executed once at the end of Fail2Ban# Values: CMD#actionstop = printf %%b "Hi,\nThe jail has been stopped.\nRegards,\nFail2Ban"|mutt -s "[Fail2Ban] : stopped on `uname -n`" # Option: actioncheck# Notes.: command executed once before each actionban command# Values: CMD#actioncheck =# Option: actionban# Notes.: command executed when banning an IP. Take care that the# command is executed with Fail2Ban user rights.# Tags: See jail.conf(5) man page# Values: CMD#actionban = printf %%b "Hi,\nThe IP has just been banned by Fail2Ban after attempts against .\nRegards,\nFail2Ban"|mutt -s "[Fail2Ban] : banned from `uname -n`" # Option: actionunban# Notes.: command executed when unbanning an IP. Take care that the# command is executed with Fail2Ban user rights.# Tags: See jail.conf(5) man page# Values: CMD#actionunban =[Init]# Default name of the chain#name = default# Destination/Addressee of the mutt#dest = root
2)然后在jail.conf文件下添加以下内容:
action = mutt[name=nginx, [emailprotected]]
重启过后就可以使用mutt文件发送邮件了。以上很多名词是笔者自己翻译,可能表达的意思并不精确,请大牛们手下留情。有不对的地方欢迎指出,有兴趣的同学也欢迎交流。
什么叫生成字典
暴力破解时候,需要将一定的字符生成字典,然后通过逐一尝试输入字典里生成的字符串和密码进行暴力破解。如:你输入123那生成的字典就是
怎样设置无线路由器密码不被wifi万能钥匙破解
一般如果我们不想别人蹭网.168;/,可以找到 无线mac地址过滤 这个选项。 在这里我们要用无线路由器自带的设置工具进行设置,有写暴力破解软件也可以破解,只允许指定的电脑才可以连接到无线路由器,防止被别人蹭网。 点击之后.1.设置MAC地址过滤。 2进入到管理页面之后.,只允许局域网内几个人连接。 设置完成之后。 下面有选项.1,抢占网络,然后在下面的条目中添加允许的MAC地址,那就选择允许。 输入之后一般会弹出个对话框让你输入用户名密码,密码是空或者admin),禁止,这个地方不同的路由器厂家的设置是不一样的.。 方法/步骤 1首先登陆到无线路由的管理页面,在左边有菜单栏。 3一般MAC地址过滤功能默认是关闭的.,我们点击启用过滤启动它.和允许.:/,主页就会显示出无线mac过滤设置,在浏览器中输入http,即使是设置了密码;后面加上路由器的IP地址192,可以参考使用说明书(一般用户名是admin,(这个地址不是固定的一般查看你自己的默认网关就是等录管理页面的地址),连接上自己的无线路由。 无线路由器的wifi信号总是会被人连接上,不用再设密码就没人能蹭网,我们的无线网络就只属于自己设定的人才可以用
想蹭别人家的wifi,但是用万能钥匙打不开怎么办?
破无线密码方法:1、第一种也可以说是最有效的一种,就是用萌WiFi等等软件来破解,这个是个正常人应该都会用。 它的原理无外乎是有人已经将这个热点的密码分享到服务器上,当有人再次访问该热点,它就会将存储在服务器上的密码发送给手机。 2、算是比较高级的方法,通过字典(包含了各式各类可能的密码的TXT文档)来暴力破解WiFi密码,说白了也就是一个一个往里试。 这样的话其实还是存在一个问题,那就是速度和路由的问题。 3、抓包破解,在自动连接的过程中,手机等设备会重新向路由器发送加密过后的WiFi密码,当路由器接收到这些信息后会将这些信息同自己内部存储的WiFi密码经过相同加密方式后的数据进行对比,比对成功就算认证通过。 3、PIN码方式破解,?八位十进制数,最后一位(第8位)为校验位(可根据前7位算出),验证时先检测前4位,如果一致则反馈一个信息,所以只需1万次就可完全扫描一遍前4位,前4位确定下来的话,只需再试1000次(接下来的3位),校验位可通过前7为算出,就可暴力验证出pin码。
发表评论