Hallo Forum,
seit ein paar Stunden befindet sich mein Server unter massiven Scanattacken des Morfeus Scanners. Sprich es wird nach Software und Sicherheitsleaks gesucht. Das so stark, dass mein Apache in die Knie geht.
Habe Anfangs manuell mit iptables die IP's geblockt, aber jetzt kommen auch vermehrt weitläufige Ip's. Auch aus unterschiedlichen bereichen.
Würde gern mittels fail2ban die Einträge in der Accesslog des Apachen erkennen und dann automatisch die IP sperren.
Kann mir jemand auf die Sprünge helfen, wie ich einen reguläre Suche nach diesem Schema erstelle?
Werde dann die Retrys so anpassen, dass auch niemand fälschlicherweiße ausgesperrt wird, welcher von Hand ein paar 404's bekommt.
Besten dank für die Hilfe.
seit ein paar Stunden befindet sich mein Server unter massiven Scanattacken des Morfeus Scanners. Sprich es wird nach Software und Sicherheitsleaks gesucht. Das so stark, dass mein Apache in die Knie geht.
Habe Anfangs manuell mit iptables die IP's geblockt, aber jetzt kommen auch vermehrt weitläufige Ip's. Auch aus unterschiedlichen bereichen.
Würde gern mittels fail2ban die Einträge in der Accesslog des Apachen erkennen und dann automatisch die IP sperren.
Kann mir jemand auf die Sprünge helfen, wie ich einen reguläre Suche nach diesem Schema erstelle?
Code:
84.199.41.202 - - [16/Dec/2008:13:06:08 +0100] "GET /administrator/phpMyAdmin-2.8.2.3/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.8.2.4/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.8.2/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.9.0-beta1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.9.0-rc1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.9.0.1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.9.0.2/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:09 +0100] "GET /administrator/phpMyAdmin-2.9.0.3/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.0/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.1-rc1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.1-rc2/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.1.1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.2-rc1/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:10 +0100] "GET /administrator/phpMyAdmin-2.9.2/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:11 +0100] "GET /administrator/phpMyAdmin-2/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:11 +0100] "GET /administrator/phpMyAdmin/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:11 +0100] "GET /administrator/phpMyAdmin2/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:11 +0100] "GET /administrator/phpmanager/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:11 +0100] "GET /administrator/phpmy-admin/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:11 +0100] "GET /administrator/phpmyadmin/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:12 +0100] "GET /administrator/phpmyadmin2.11.5/main.php HTTP/1.0" 404 1030 "-" "-"
84.199.41.202 - - [16/Dec/2008:13:06:12 +0100] "GET /administrator/phpmyadmin2/main.php HTTP/1.0" 404 1030 "-" "-"
Werde dann die Retrys so anpassen, dass auch niemand fälschlicherweiße ausgesperrt wird, welcher von Hand ein paar 404's bekommt.
Besten dank für die Hilfe.