Ich hab jetzt seit längerem schon fail2ban im Einsatz, und es läuft soweit ganz gut. Gegen ssh block es jeden Tag ein paar Zugriffe und ab und zu auch mal ein Courierlogin.
Nur für den Apache, welcher auch fast jeden Tag solche Spuren in den Logs aufweißt geht fail2ban nicht. Ich weiß nicht warum, die Config scheint richtig zu sein. Beim starten im Logfile sieht alles normal aus. Richtige Logfiles und richtige Filterregel werden geladen.
Also muss es wohl am Regex liegen. Pcretest springt aber jedes mal an.
failregex = [[]client <HOST>[]] (?:File does not exist)|(?:script.*not found or unable to stat)|(?:.*w00tw00t)
Damit wollte ich diese 3 Zeilen ansprechen:
[Sun Mar 04 18:44:05 2007] [error] [client 111.222.333.444] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Sun Mar 04 16:08:30 2007] [error] [client 111.222.333.444] File does not exist: /var/www/apache2-default/b2evo
[Sun Mar 04 08:28:01 2007] [error] [client 111.222.333.444] script '/var/www/apache2-default/index.php' not found or unable to stat
eventuell später diese noch:
[Sun Mar 04 20:28:17 2007] [error] [client 111.222.333.444] Invalid URI in request GET HTTP/1.0
Hat da jemand fail2ban erfolgreich im Einsatz, und könnte mal sein Regex posten? Ich weiß nicht mehr weiter.
Obwohl eigentlich könnte man da drauf ja verzichten. Die meisten Scripte nach denen gesucht wird sind nicht drauf, außer phpmyadmin und ein Forum. Diese versuch ich aber aktuell gehalten.
Grüße
freeman
Nur für den Apache, welcher auch fast jeden Tag solche Spuren in den Logs aufweißt geht fail2ban nicht. Ich weiß nicht warum, die Config scheint richtig zu sein. Beim starten im Logfile sieht alles normal aus. Richtige Logfiles und richtige Filterregel werden geladen.
Also muss es wohl am Regex liegen. Pcretest springt aber jedes mal an.
failregex = [[]client <HOST>[]] (?:File does not exist)|(?:script.*not found or unable to stat)|(?:.*w00tw00t)
Damit wollte ich diese 3 Zeilen ansprechen:
[Sun Mar 04 18:44:05 2007] [error] [client 111.222.333.444] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Sun Mar 04 16:08:30 2007] [error] [client 111.222.333.444] File does not exist: /var/www/apache2-default/b2evo
[Sun Mar 04 08:28:01 2007] [error] [client 111.222.333.444] script '/var/www/apache2-default/index.php' not found or unable to stat
eventuell später diese noch:
[Sun Mar 04 20:28:17 2007] [error] [client 111.222.333.444] Invalid URI in request GET HTTP/1.0
Hat da jemand fail2ban erfolgreich im Einsatz, und könnte mal sein Regex posten? Ich weiß nicht mehr weiter.
Obwohl eigentlich könnte man da drauf ja verzichten. Die meisten Scripte nach denen gesucht wird sind nicht drauf, außer phpmyadmin und ein Forum. Diese versuch ich aber aktuell gehalten.
Grüße
freeman
