有什么开源工具能自动分析 nginx 日志，发现 sqlmap 这类漏洞扫描工具构造的 payload 就自动调 iptables 拉黑 IP 吗？

Fail2ban 应该可以

fail2ban 可以监控 nginx log

直接返回 2

@ahhui
@seers 怎么识别漏洞扫描工具构造的 payload 呢

日，上个回复没写完就发送了。一个 IP 背后可能很多用户，建议遇到这种请求，nginx 返回 200 空内容就好，对方只是探测漏洞而非 DDOS 。

@yidinghe #5 问题是我没办法精准识别哪些是漏洞扫描工具探测漏洞的 payload ，肯定会有漏的

@edis0n0 正则+白名单呗，没必要识别

用 ngx_lua 可以通过 lua 代码处理 nginx 请求

在 log_by_lua 记录异常 IP 写入一个文本文件，开个定时 shell 把文件里的 IP 加入 iptables

问题是为什么要让 fail2ban 去识别 payload ，这是 WAF 应该干的事情。

我用的 nginx ModSecurity 去识别异常请求，然后输出一条日志，fail2ban 根据日志去 BAN 掉请求来源 IP 。

可以上 waf ，或者自己研究免费的 NGINX waf 策略。

elk,

crowdsec

貌似 宝塔 就有这个功能。宝塔也有开源版。

waf ?