<div dir="ltr">I think you guys are missing the point. He want to tell fail2ban : if ip x asks for url y ban it on the firewall.<div><br></div><div>I googled "fail2ban http request to firewall" and got a direct hit , you sunk my battleship.</div><div><br></div><div><a href="http://serverfault.com/questions/416926/automatically-block-ip-who-requests-certain-url">http://serverfault.com/questions/416926/automatically-block-ip-who-requests-certain-url</a><br></div><div><br></div><div>David</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 19, 2014 at 9:20 AM, Myles Braithwaite <span dir="ltr"><<a href="mailto:me@mylesbraithwaite.com" target="_blank">me-qIX3qoPyADtH8hdXm2+x1laTQe2KTcn/@public.gmane.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The easiest option is to add the IP address to your`/etc/hosts.deny` file. This will block them from accessing your server indefinitely (so check and make sure they aren't coming from a public access point that your users are likely to use).<br>
<div class="HOEnZb"><div class="h5"><br>
> On Sep 19, 2014, at 7:44 AM, Matt Price <<a href="mailto:moptop99@gmail.com">moptop99-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org</a>> wrote:<br>
><br>
> Hi folks,<br>
><br>
> Earlier this week the ubuntu server my courses run on was compromised<br>
> and started spammming.  I have done some hardening and among<br>
> otherthings installed fail2ban and logwatch, then put the server back<br>
> up yesterday afternoon.<br>
><br>
> This morning I woke up to see  hundreds of thousands of requests from<br>
> 2 IPs to a web page that has a known exploit.  Here is a log entry:<br>
><br>
> <a href="tel:195.154.136.19" value="+19515413619">195.154.136.19</a> - - [19/Sep/2014:07:33:10 -0400] "POST /xmlrpc.php<br>
> HTTP/1.0" 403 470 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT<br>
> 6.0)"<br>
><br>
> I would like to tell fail2ban to block these IP's when this happens --<br>
> they aren't doing any damage yet but they account for most of my<br>
> bandwith right now and I would rather they not keep me o ntheir 'easy<br>
> targets' list.  Does anyone know how to do this -- if not with<br>
> fail2ban than with some other tool?<br>
><br>
> Thanks,<br>
><br>
> Matt<br>
> --<br>
> The Toronto Linux Users Group.      Meetings: <a href="http://gtalug.org/" target="_blank">http://gtalug.org/</a><br>
> TLUG requests: Linux topics, No HTML, wrap text below 80 columns<br>
> How to UNSUBSCRIBE: <a href="http://gtalug.org/wiki/Mailing_lists" target="_blank">http://gtalug.org/wiki/Mailing_lists</a><br>
--<br>
The Toronto Linux Users Group.      Meetings: <a href="http://gtalug.org/" target="_blank">http://gtalug.org/</a><br>
TLUG requests: Linux topics, No HTML, wrap text below 80 columns<br>
How to UNSUBSCRIBE: <a href="http://gtalug.org/wiki/Mailing_lists" target="_blank">http://gtalug.org/wiki/Mailing_lists</a><br>
</div></div></blockquote></div><br></div>