Партия потребления Fail2ban bandwith
Как насчет использования Журнал Git :
git log -1
Пример:
$ git log -1
commit 4a3dfcc66ca76a19052a7c0d44d5e6c315d79e07
Author: LE Manh Cuong
Date: Fri Apr 17 01:54:10 2015 +0700
Make yanking work in OSX.
Держать это просто - хвост
Нам не нужно регулярное выражение или несколько процессов, только чтобы считать символы.
Команда tail , часто используемая для отображения последних строк файла, имеет опцию -c ( -bytes ), которая кажется как раз правильным инструментом для этого:
$ printf 123456789 | tail -c 3
789
(Когда вы находитесь в оболочке, имеет смысл использовать метод, как в ответе mikeserv, поскольку он сохраняет начало процесса для tail .)
реальных символов Юникода?
Теперь вы запрашиваете последние три символа ; Это не то, что дает вам этот ответ: он выводит последние три байта !
До тех пор, пока каждый символ является одним байтом, tail -c просто работает. Таким образом, его можно использовать, если набор символов - ASCII , ISO 8859-1 или вариант.
При вводе в Юникод, например, в обычном формате UTF-8 , результат будет неправильным:
$ printf 123αβγ | tail -c 3
�γ
В этом примере, используя UTF-8 , греческие символы альфа, бета и гамма имеют длину два байта:
$ printf 123αβγ | wc -c
9
Параметр -m может, по крайней мере, отсчитывать действительные символы Юникода:
printf 123αβγ | wc -m
6
Итак, последние 6 байт дадут нам последние 3 символа:
$ printf 123αβγ | tail -c 6
αβγ
Итак, tail не поддерживает обработку общих символов и даже не пытается (см. ниже): Он обрабатывает строки переменного размера, но не символы переменного размера.
Давайте скажем так путь: хвост - это просто правильно для структуры задачи, которую нужно решить, но неправильно для вида данных.
GNU coreutils
Глядя дальше, оказывается, что эти GNU coreutils, коллекция основных инструментов, таких как sed , ls , tail и cut , еще не полностью интернационализированы. В основном речь идет о поддержке Юникода.
Например, cut будет хорошим кандидатом для использования вместо хвоста здесь для поддержки символов; Он имеет опции для работы с байтами или символами, -c ( -bytes ) и -m ( -chars );
Только то, что -m / -chars является, начиная с версии
cut (GNU coreutils) 8,21 , 2013,
не реализовано!
Из info cut :
`-c CHARACTER-LIST'
`--characters=CHARACTER-LIST'
Select for printing only the characters in positions listed in CHARACTER-LIST.
The same as `-b' for now, but internationalization will change that.
См. также этот ответ на Нельзя использовать «cut -c» («--символы») с UTF-8? .
Вы не подписаны на обновления RedHat, поэтому вы не будете получать обновления ни для одного из основных пакетов. Так как вы добавили репо Scientific Linux, yum заметит, что теперь он имеет доступ к пакетам, которые гораздо более актуальны, чем ваша текущая установка, и пытается обновить их все.
Если вы продолжите, вы получите гибридную систему Scientific Linux/RedHat, которая может стать настоящей свиньей для управления.
Поскольку вы не подписаны на RedHat,можно рассмотреть возможность миграции системы на CentOS. Существуют риски (очевидно), и подробности можно найти на CentOS Migration HowTo .
Также существует запись в блоге о преобразовании RHEL в Scientific Linux, но это не официально.
-121--244802-Несколько точки:
1) fail2ban - это просто логика для изменения конфигурации системы, так что она не потребляет какую-либо полосу пропускания.
2) 60KB в течение нескольких минут вовсе не так уж много пропускной способности.
3) Рассматриваемая 60KB полосы пропускания - это сетевой трафик, соответствующий отказавшему событию. Вы ничего не можете сделать, чтобы уменьшить трафик, так как вы не тот, кто его генерирует. Тот факт, что он отклоняется как часть правила fail2ban , указывает на то, что трафик должен быть заблокирован .
4) Журналы NGINX показывают, что удаленный злоумышленник пытается использовать shellshock использовать на вас. Я бы убедился, что вы полностью исправлены.
В целом система фактически работает так, как ожидалось. Если вы хотите что-то сделать, чтобы их запросы остановились, вы можете отследить, от какой VPS они делают это, и отправить поставщику по электронной почте сообщение о злоупотреблениях, связанных с их сетью.
EDIT:
Из извращенного интереса я посмотрел на него, и IP злоумышленника решает sonne.publicmanagement.at В зависимости от того, какие контакты для этого домена являются info@publicmanagement.at и at.dom-admin@matthias.subik.de вы можете попытаться отправить их по электронной почте напрямую. Учитывая, что он исходит от немецкого провайдера, но вытаскивая эксплойт из того, что кажется корейским веб-сайтом, провайдер может быть законно не знать, что это происходит, и это может быть просто одна из их коробок, которая уже была корнями (вероятно, аналогичным образом).