ช่วยทำตัวกรองfail2ban

ฉันได้ทำการกรองบางอย่างสำหรับ fail2ban ของฉันแล้ว แต่เป็นเพียงสิ่งง่ายๆ เช่น:

[คำนิยาม]
failregex = ^ .* "รับ .*/wp-login.php
ละเว้นregex =

ฉันไม่ได้ใช้ wordpress บนเซิร์ฟเวอร์ของฉัน ดังนั้นฉันจึงบล็อกความพยายามที่เป็นอันตรายได้มากมาย และฉันได้สร้างสิ่งที่คล้ายกันสำหรับ: phpmyadmin, wp-admin, wp-include เป็นต้น

แต่ฉันพบสิ่งแปลก ๆ ใน access.log เช่น:

167.172.145.56 - - [22/Sep/2021:06:44:50 -0700] "GET /wp-login.php HTTP/1.1" 403 9901 "http://cpanel.alebalweb-blog.com/wp-login .php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
167.172.145.56 - - [22/Sep/2021:06:44:50 -0700] "GET /wp-login.php HTTP/1.1" 403 9901 "http://mail.alebalweb-blog.com/wp-login .php" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"


61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://webdisk.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"    
61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://webmail.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"    
61.135.15.175 - - [22/Sep/2021:05:45:24 -0700] "GET / HTTP/1.1" 200 26210 "http://cpcalendars.alebalweb-blog.com/" "Mozilla/5.0 (Linux; Android 10.0; MI 2 Build/O012) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/88.0.4472.114 Mobile Safari/537.36"

ไม่มีโดเมนย่อยเหล่านั้น

ฉันพยายามสร้างตัวกรองใหม่โดยได้รับแรงบันดาลใจจาก apache-badbots แต่ฉันไม่แน่ใจว่าถูกต้อง:

[คำนิยาม]

varietytoblock = cpanel\.|store\.|webdisk\.|autodiscover\.|app\.|cpcalendars\.|cpcontacts\.|webmail\.|mail\.|fulaifushi\.|surf11818\.|asg\.| owa\.|แลกเปลี่ยน\.\$

failregex = ^<HOST> -.*"(GET|POST).*HTTP.*".*(?:%(varioustoblock)s).*"$
ละเว้นregex =

รูปแบบวันที่ = ^[^\[]

โดยเฉพาะอย่างยิ่งสำหรับ (.) ในอดีตฉันมีปัญหากับ (.) ในตัวกรองของ fail2ban และวิธีแก้ไขคือลบออกทั้งหมด...

แต่ในกรณีนี้ ไม่สามารถลบออกได้ ฉันไม่สามารถบล็อกใครก็ตามที่มีคำว่า "เมล" ใน url ของฉัน... ฉันต้องแน่ใจว่าได้บล็อก "เมล"

และฉันต้องการสร้างตัวกรองขนาดใหญ่ตัวเดียวที่ระบุทั้งโดเมนย่อยที่ไม่มีอยู่จริงและความพยายามในการเข้าถึง wordpress หรือ phpmyadmin แต่ pyton regex นั้นน่ากลัวมากหากคุณไม่เคยใช้มาก่อน...

ใครสามารถช่วยฉันได้บ้าง

(ฉันเคยคิดที่จะลบ * .alebalweb-blog.com ออกจากการกำหนดค่า DNS แต่ฉันไม่แน่ใจว่าเป็นความคิดที่ดีไหม เพราะฉันใช้โดเมนย่อยบางโดเมนด้วย)

ปล. ฉันควรกังวลแค่ไหนหากมีคนพยายามเข้าถึงโดเมนย่อยที่ไม่มีอยู่ในไซต์ของฉัน

ตัวกรองที่เป็นไปได้อาจมีลักษณะดังนี้:

[คำนิยาม]

รูปแบบวันที่ = ^\S+ \S+ \S+( \[{DATE}\])

errcode = (?!401)[45]\d\d
อนุญาตโดเมนย่อย = www|mail|cpannel
โดเมนผิด = (?!(?:%(allowedsubdomains)s)?\.)(?:[^\."]+\.){2,}[^\."]+
failregex = ^<ADDR> \S+ \S+ "[A-Z]+ /[^"]*" (?:(?P<err>%(errcode)s)|\d+)(?(err)| \d+ " https?://%(ผิดโดเมน)s")

สิ่งนี้จะตรงกับรหัสใด ๆ ที่ "ไม่ดี" ที่ระบุโดย รหัสข้อผิดพลาด หรือโดเมนที่ไม่ถูกต้อง เนื่องจากการจับคู่แบบมีเงื่อนไข e. กรัม ในกรณีของรหัส 200.

ที่ไหน:

• (?:(?P<err>%(errcode)s)|\d+) - จับคู่รหัสข้อผิดพลาดที่ระบุ (เช่น 403 และจัดเก็บเป็นกลุ่มที่มีชื่อ ผิดพลาด) หรือรหัสอื่น ๆ (เช่น 200);
• (?(ผิดพลาด)...ก...|...ข...) - นิพจน์เงื่อนไขจับคู่นิพจน์ย่อย A ถ้า ผิดพลาด ตรงกับนิพจน์ด้านบน (รหัสข้อผิดพลาดเท่านั้น เนื่องจาก A ว่างเปล่าที่นี่) มิฉะนั้นจะตรงกับนิพจน์ย่อย B (โดเมนย่อยไม่ถูกต้อง)
• (?!(?:%(allowedsubdomains)s)?\.)(?:[^\."]+\.){2,}[^\."]+ - จับคู่อะไรก็ได้ยกเว้นสตริงที่ขึ้นต้นด้วยโดเมนย่อยที่อนุญาตเนื่องจาก lookahead เชิงลบ (?!...) และ (?:[^\."]+\.){2,}[^\."]+ สำหรับการแสดงความคิดเห็นเช่น zzz.xxx.yyy

แต่จะเป็นการดีกว่าที่จะจำกัดโดเมนในฝั่งเว็บเซิร์ฟเวอร์และห้ามคำขอใด ๆ ต่อโดเมนที่ผิดกฎหมายที่นั่น

ในกรณีนี้ตัวกรองอาจเป็นดังนี้:

[คำนิยาม]

รูปแบบวันที่ = ^\S+ \S+ \S+( \[{DATE}\])

errcode = (?!401)[45]\d\d
failregex = ^<ADDR> \S+ \S+ "[A-Z]+ /[^"]*" %(errcode)s\b