它基本上是Windows的fail2ban。它的目标也主要是我们喜欢fail2ban的原因:
- 预配置
- 没有初始脚本或配置文件
- 安装后忘记
对EvlWatcher所做的更详细的描述。
场景:那里有那些坏人,用蛮力尝试锤击你的服务(RDP 等)。
您可以在Windows事件日志中清楚地看到它们及其IP。
您已经搜索了网络,是的,有很多工具,脚本等等,可以读取事件日志并自动禁止攻击者IP。
然而,你很懒。你需要像fail2ban这样的东西,有一组预配置的规则来立即运行并且它可以工作。
但是,如果您愿意,它仍然需要足够的灵活性才能完全配置它。
EvlWatcher就是这样做的。它扫描Windows事件日志,并做出反应。
它的工作原理是安装扫描事件日志以查找不成功的登录尝试的服务。当违反其规则之一时(例如,尝试在没有正确凭据的情况下登录,在 5 分钟内超过 2 次),它会将该可怜的混蛋放入通用防火墙规则中,从而禁止攻击者 2 小时。
此外,当有人反复尝试时,有一个永久的禁止名单,人们在三次罢工后默认登陆。
当然,您可以根据自己的喜好调整规则。它们基本上由事件源和用于提取IP的正则表达式组成,非常简单。
安装
运行安装程序可执行文件。不需要删除以前版本的 EvlWatcher,安装程序将处理这个问题。
静默安装
顺便说一下,当您使用 /S 参数运行安装程序可执行文件时,它将以静默方式安装(例如,没有 UI)。这可用于远程或大规模推出 EvlWatcher,即通过组策略。
安装EvlWatcher之后
您现在安装了 2 件事,
将立即开始运行的 Windows 服务(称为 EvlWatcher)及其默认配置文件
管理控制台(在二进制目录中)
服务内容
您可以在您的服务中看到它作为“EvlWatcher”。它设置为本地系统和自动启动 - 这意味着它无法通过网络通信并且将始终运行。
该服务创建一个名为 EvlWatcher 的防火墙规则。并根据您的事件日志每 30 秒更新一次。就这么简单。 只有一件事:禁用规则时是正常的。当没有IP被禁止时,它会自动禁用。别担心,EvlWatcher 会在第一个禁令受害者出现后立即启用它。
配置的
您可以在二进制目录中将其视为配置.xml。 它旨在涵盖开箱即用的各种暴力攻击,但也可以扩展。如果你愿意,看看里面。
控制台(EvlWatcherConsole.exe)。
您可以使用控制台查看服务的运行情况。 控制台可以在开始菜单或安装文件夹中找到。
无论您打开还是关闭控制台,服务都会继续运行。
控制台中有几个选项卡。
项目地址
GitHub - devnulli/EvlWatcher:适用于Windows的“fail2ban”样式模块化日志文件分析器
下载地址
链接:https://pan.baidu.com/s/1Gtyn0Qf6lU-2wrTtgZnUoQ?pwd=knsi
提取码:knsi
下面是个阻断实例
