Модуль es-sql-injection был разработан компанией Extra Systems для защиты вашего сервера от sql-инъекций в рамках системы fail2ban. Суть его деятельности заключается в выявлении специфической активности в файле /var/log/nginx/access.log.
Подключение es-sql-injection к fail2ban производится таким способом:
[es-sql-injection] enabled = true filter = es-sql-injection logpath = /var/log/nginx/access.log action = iptables-allports[name=es-sql-injection, blocktype=DROP, protocol=all]
Обратите внимание на тот факт, что данный фильтр блокирует для изобличенного хакера все протоколы на всех портах, причем делает это по методу DROP - что превращает после этого ваш хост в абсолютно "черную дыру" для данного конкретного злоумышленника. Ни на один свой последующий IP-пакет он не получит вообще никакого ответа. Таким образом нами обеспечивается значительная экономия ресурсов вашего сервера.
Код нашего фильтра es-sql-injection имеет такой вид:
[Definition] failregex = ^<HOST> - - \[.*\] "GET /.*%%(2(0|C|B|8)|0(A|9))(AND|SELECT|ORDER|CONCAT|ELT|CHAR|CAST).*HTTP/\d\.\d" (301|200|404) ignoreregex =
В условиях практической эксплуатации на наших Linux-серверах данный фильтр показал очень высокую эффективность в деле подавления хакерской активности.
| © Extra Systems, 2026 |
|