Fail2ban jail Filter

[shopuser]

Hallo,



wie kann ich in meinem Filter ein Regel definieren die Alle Bot Suchanfragen die mit POST /search?sSearch= beginnen wie in der folgenen Art sperrt

^<HOST> - .* "POST /search?sSearch=campingplaetze


nur

^<HOST> - .* "POST /search?sSearch=

funktioniert nicht .


Das Problem ist das in einem Spanischen Shop in spanisch für Elektronik vom MSN Bot solche schwachsinnigen Abfragen in deutsch durchgeführt werden die dann die Serverlast in die Höhe treiben und Fehlermeldungen generieren.
Scheinbar ist das so ein "superschlauer Microsoft KI Bot " der meine Website für ein Suchmaschine hält!


solche Einträge habe ich dann :

2024-05-21 13:03:23 Error 40.77.167.55 400 POST /search?sSearch=www.facebook.com+login
2024-05-21 17:03:39 Error 52.167.144.166 400 POST /search?sSearch=Golfers+Paradise+AG+Golf+Shop
2024-05-22 07:56:12 Error 52.167.144.167 400 POST /search?sSearch=imgurl%3Ahttps%3A%2F%2Fintra.ayanda.com%2FIntranet_files%2Fimage022.png
2024-05-22 11:35:53 Error 40.77.167.78 400 POST /search?sSearch=campingplaetze
2024-05-22 11:41:52 Error 52.167.144.223 403 POST /search?sSearch=sfo+i+drammen Edg/112.0.1722.68 4.44 K SSL/TLS-Zugriff für Apache
2024-05-22 12:10:58 Error 52.167.144.18 403 POST /search?sSearch=ortho Edg/112.0.1722.68 4.44 K SSL/TLS-Zugriff für Apache







Bei der Normalen Suche im Shop erfolgt das via GET /search?sSearch=

[Definition]
failregex = ^<HOST> - .* "POST /.aws/credentials
^<HOST> - .* "POST /owa/auth.ow
^<HOST> - .* "POST /yBhbgZ7A1jr3_z99
^<HOST> - .* "POST /alfacgiapi/perl.alfa
^<HOST> - .* "POST /ALFA_DATA/alfacgiapi/perl.alfa
^<HOST> - .* "GET /checkbex.php
^<HOST> - .* "GET /layouts/System/VisitorIdentification.aspx
^<HOST> - .* "GET /magento_version
^<HOST> - .* "HEAD /manifest.json
^<HOST> - .* "POST /search?sSearch=
....



ignoreregex =

 

[GwenDragon]

Ich denke das ein teil deines Regex nicht passt: <HOST> .* POST /search\?sSearch=.*

 

[MadMakz]

Ich denke das ein teil deines Regex nicht passt: <HOST> .* POST /search\?sSearch=.*

/search -> \/search

 

[GwenDragon]

/search -> \/search

Wieso muss das / escaped werden? Ist Fail2bans Python Regex so anders?

re — Regular expression operations

Source code: Lib/re/ This module provides regular expression matching operations similar to those found in Perl. Both patterns and strings to be searched can be Unicode strings ( str) as well as 8-...

docs.python.org

//edit: Ah, ok, hast dich vertan @MadMakz

 

[shopuser]

Ich denke das ein teil deines Regex nicht passt: <HOST> .* POST /search\?sSearch=.*

Also danke das ^<HOST> - .* "POST /search\?sSearch=.* hat funktionioniert, IP von der suchanfrage wurde geblockt.

 

[shopuser]

hab da mal noch ein Frage wie kann ich den Filter so anlegen bei solchen Anfragen, wenn bei bestehneden URLs nach irgendwelchen versteckten systemordern, Dateien gesucht wird

2024-06-03 16:59:35

Error

45.89.245.58

404

GET /nokia/nokia-6288/admin/ueditor/net/controller.ashx?action=catchimage

^<HOST> - .* "POST /.*./admin/ueditor/net/controller.ashx?action=catchimage

ging aber so nicht

 

[GwenDragon]

hab da mal noch ein Frage wie kann ich den

Was?

 

[shopuser]

Was?

sorry war abgerutscht bevor ich fertig war mit schreiben siehe oben

 

[GwenDragon]

^<HOST> - .* "POST /.*./admin/ueditor/net/controller.ashx?action=catchimage

ungetestet:
^<HOST> - .* "POST /.*/admin/ueditor/net/controller\.ashx\?action=catchimage

GET-Anfragen sind egal?

 

[shopuser]

geht leider nicht IP wird nicht geblockt.

ungetestet:
^<HOST> - .* "POST /.*/admin/ueditor/net/controller\.ashx\?action=catchimage

GET-Anfragen sind egal?

GET auch lässt sich aber mit einer 2. Regel machen so wie mit POST

 

[shopuser]

wenn den hinteren Teil weglasse geht es :


^<HOST> - .* "POST /.*/admin/ueditor/net/controller\.ashx\



hab das auch noch probiert

^<HOST> - .* "POST /.*/admin/ueditor/net/controller\.ashx\

^<HOST> - .* "POST /.*/admin/ueditor/net/controller\.ashx\?.*

^<HOST> - .* "POST /.*/admin/ueditor/net/controller\.ashx\.*

 

[shopuser]

so jetz funzt es :

^<HOST> - .* "GET /.*/admin/ueditor/net/controller/.ashx.*
^<HOST> - .* "POST /.*/admin/ueditor/net/controller/.ashx.*

danke nochmal für die Hilfe!