1. дома
  2. Вопрос и ответ
  3. Блок User Agent с iptables не работает

Блок User Agent с iptables не работает

2013-10-20 3 views
0

Я получаю неустанные запросы в одном из моих доменов, которые, как мне кажется, поступают из вируса Pushdo (или аналогичного), см. Ниже. По-видимому, он выбирает случайные домены для отправки трафика, чтобы замаскировать запросы на свой командный узел. Я попытался Fail2Ban, но IP-адреса постоянно меняются и запрещают 50K +, и запрет использует больше ресурсов, чем запросы. Я надеялся позаботиться о HTTP-запросах (есть и SMTP, но это еще один вопрос!), Блокируя агент пользователя.Блок User Agent с iptables не работает

Я попытался с помощью

iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" -j DROP

Но это не работает! Что я делаю не так? Кроме того, любые другие предложения для решения этой проблемы - это продолжается уже более месяца, и я вытягиваю свои волосы!

ОС: CentOS 6.4

Вход Отрывок:

121.54.54.47 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
125.60.156.224 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
84.108.50.80 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
110.143.55.42 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
122.208.75.75 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
1.2.248.56 - - [20/Oct/2013:03:32:38 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
180.194.171.167 - - [20/Oct/2013:03:32:38 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
190.200.59.125 - - [20/Oct/2013:03:32:39 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
223.197.238.249 - - [20/Oct/2013:03:32:40 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 
200.121.4.163 - - [20/Oct/2013:03:32:39 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

источник

2013-10-20 ScottG

ответ

2

Вы используете -A, который присоединяет правило к существующему набору, так что, вероятно, ничего не делает. Использование -I, вероятно, сработает, но вы, скорее всего, захотите записать этот сценарий и получить его в правильном порядке.

источник

2013-10-25 20:49:28

Смежные вопросы

 Смежные вопросы