Fail2Ban greift nicht, Fail2Ban-regex Problem

[sportY]

Guten Tag zusammen,

wie man dem Titel schon entnehmen kann, geht um Fail2Ban. Ganz konkret geht es um dieses Jail:

[courierauth]

enabled  = false
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.info
maxretry = 5

hier die Regel in der courierlogin.conf in /etc/fail2ban/filter.d

failregex = LOGIN FAILED, .*, ip=\[<HOST>\]$

In der mail.info sind einige Einträge vorhanden, die fehlerhafte Logins kennzeichnen. Wieso gibt dann ...

fail2ban-regex /var/log/mail.info /etc/fail2ban/filter.d/courierlogin.conf

... keine matches aus? Ich habe mich zuvor an diesem Beitrag hier im Forum orientiert.

Hier ist mal so ein Eintrag aus der mail.info

Jun  6 19:18:40 vServer pop3d: IMAP connect from @ [78.38.176.123]checkmailpasswd: FAILED: backup - short names not allowed from @ [78.38.176.123]ERR: LOGIN FAILED, ip=[78.38.176.123]

Hat jemand eine Idee, was ich falsch mache?

Grüße,
SportY

 

[imagica]

und wenn du einfach mal

enabled  = true

schreibst?

 

[dermarlo]

Dein RegEx greift da nicht, weil du ein Komma zu viel matchen willst.

 % echo "LOGIN FAILED, ip=[78.38.176.123]"|grep -o "LOGIN FAILED, .*, ip=\[.*\]$"
1 % 

echo "LOGIN FAILED, ip=[78.38.176.123]"|grep -o "LOGIN FAILED, .*ip=\[.*\]$"
LOGIN FAILED, ip=[78.38.176.123]
%

 

[sportY]

Irgentwie wieder ein dummer Fehler, oder? Das hier ist nun die Ausgabe am Ende:

Date template hits:
5627 hit(s): Month Day Hour:Minute:Second
0 hit(s): Weekday Month Day Hour:Minute:Second Year
0 hit(s): Weekday Month Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-Month-Year Hour:Minute:Second[.Millisecond]
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601

Success, the total number of match is 1709

However, look at the above section 'Running tests' which could contain important
information.

Ist das so in Ordnung?

Ich teste das Ganze dann mal hiermit:

[courierauth]

enabled  = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
action   = iptables[name=courierauth, port=110, protocol="tcp"]
logpath  = /var/log/mail.info
maxretry = 3

Besten Dank bis hier hin =)

 

[blocklist]

Ist das so in Ordnung?

Jupp.
Insgesamt hat Fail2ban "5627" Treffer mit dem korrekten Format gefunden und "1709" Treffer zu dem Filter.

Wenn du willst kannst du dann gerne bei blocklist.de mitmachen und die IPs reporten

 

[sportY]

Besten Dank.

Böse IPs zu blocken kann ja nur positiv sein

Komischerweise funktioniert die selbe Regel auf meinem 2. vServer nicht mehr ... AAHHH. 0 Treffer

zum Vergleich ein Eintrag vom Server bei dem die Regel greift und ein Eintrag vom anderen Server bei dem es nicht funktioniert:

server_funktioniert

Jun  9 15:56:06 vServer pop3d: IMAP connect from @ [62.220.223.17]checkmailpasswd: FAILED: windows - short names not allowed from @ [62.220.223.17]ERR: LOGIN FAILED, ip=[62.220.223.17]

server_funktioniert_NICHT

Jun  9 06:18:45 vServer pop3d: IMAP connect from @ [207.253.224.134]checkmailpasswd: FAILED: shop - short names not allowed from @ [207.253.224.134]ERR: LOGIN FAILED, ip=[207.253.224.134]

Ich sehe da keinen Unterschied in der "Syntax"...

Könnte das am Alter der unterschiedlichen Fail2Ban-Versionen liegen?

 

[blocklist]

Es gibt ein paar kleine Unterschiede zwischen älteren und der aktuellen Fail2ban-Version:
Debian 6 (v0.8.4) http://www.blocklist.de/downloads/fail2ban.config.debian6.tar.gz
Debian 5 (v0.8.3) http://www.blocklist.de/downloads/fail2ban.config.tar.gz

Die Dateien aus /etc/fail2ban/filter.d/ sind auf beiden Server gleich?
Steht was in der /var/log/fail2ban.log auf dem Server, wo es nicht geht (wenn aktiv)?

 

[sportY]

Auf dem anderen Server läuft noch Debian Etch (4), liegt es vielleicht daran?

Die Zeile mit dem Filter ist absolut identisch. Komisch ...

 

[blocklist]

Die Uhrzeit auf dem System geht auch korrekt?
mhjhhhhh. Ansonsten stell mal in der /etc/fail2ban/fail2ban.conf das Log-Level auf 4 und schau in /var/log/fail2ban.log dann ob beim nächsten Angriff nach einem Restart von Fail2Ban dort etwas ausgegeben wird.

 

[sportY]

2011-06-10 00:40:38,020 fail2ban.actions: WARNING [courierauth] Ban 27.254.34.170
2011-06-10 01:10:38,547 fail2ban.actions: WARNING [courierauth] Unban 27.254.34.170

Scheint trotzdem zu funktionieren

 

[blocklist]

Laut Logeintrag, hat Fail2ban die IP für 30 Minuten gesperrt.
Du kannst dir ja die E-Mail senden lassen und dann per "iptables -L -n | grep ip-addresse" prüfen ob die korrekt per Firewall blockiert ist.