Hallo,
ich habe in meinen http Logs immer wieder folgende Einträge gefunden.
Nun habe ich bereits Fail2ban schon im Einsatz, jedoch für diese Art, komm ich einfach nicht mit dem Filter weiter.
Fail2Ban soll hier nur nach dem verdächtigen __test|O:21:"JDatabaseDriverMysqli" suchen und dann einfach sperren,
irgend wie klapps nur nicht. Bin auch nicht so bewandert mit regex.
Ich hoffe das mir vielleicht der ein oder andere einen Denkanstoß geben kann.
Grüße und Danke
Frank
ich habe in meinen http Logs immer wieder folgende Einträge gefunden.
Code:
74.208.82.208 - - [13/Feb/2017:00:23:41 +0100] "GET / HTTP/1.0" 200 2756 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3842:\"eval(base64_decode
Nun habe ich bereits Fail2ban schon im Einsatz, jedoch für diese Art, komm ich einfach nicht mit dem Filter weiter.
Fail2Ban soll hier nur nach dem verdächtigen __test|O:21:"JDatabaseDriverMysqli" suchen und dann einfach sperren,
irgend wie klapps nur nicht. Bin auch nicht so bewandert mit regex.
Ich hoffe das mir vielleicht der ein oder andere einen Denkanstoß geben kann.
Grüße und Danke
Frank