Hallo, ich hoffe ich bin hier richtig und ihr könnt mir helfen.
Folgendes Problem:
Ich habe "versucht" einen neuen Filter zu erstellen, dieser greift aber nicht. Im fail2ban.log steht das die Regel gestartet wurde, es gibt keine Fehlermeldung. Das zu durchsuchende Logfile ist auch korrekt.
Den Filter habe ich mit fail2ban-regex getestet und dort ist scheinbar alles ok.
Weiß wirklich nicht warum es nicht geht. :-/
Ich hoffe Ihr könnt mir Helfen. Vielen Dank im Voraus!
Hier die von mir verwendete Regel:
Und hier der Eintrag aus dem Log zur Regel:
Und zum Schluss noch der Eintrag aus der jail.local:
Folgendes Problem:
Ich habe "versucht" einen neuen Filter zu erstellen, dieser greift aber nicht. Im fail2ban.log steht das die Regel gestartet wurde, es gibt keine Fehlermeldung. Das zu durchsuchende Logfile ist auch korrekt.
Den Filter habe ich mit fail2ban-regex getestet und dort ist scheinbar alles ok.
Weiß wirklich nicht warum es nicht geht. :-/
Ich hoffe Ihr könnt mir Helfen. Vielen Dank im Voraus!
Hier die von mir verwendete Regel:
Code:
[Definition]
# Option: failregex
# Notes.: Regexp to catch Apache dictionary attacks on Wordpress wp-login
# Values: TEXT
#
failregex = <HOST>.*] \"POST http\://[a-zA-Z0-9\-\.]+\.[a-zA-Z]{2,3}/wp-login.php
Und hier der Eintrag aus dem Log zur Regel:
Code:
62.109.29.114 - - [03/Jul/2014:18:42:02 +0200] "POST http://domain.tld/wp-login.php/ HTTP/1.1" 200 4269 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2"
62.109.29.114 - - [03/Jul/2014:18:42:02 +0200] "POST http://domain.tld/wp-login.php/ HTTP/1.1" 200 4269 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2"
62.109.29.114 - - [03/Jul/2014:18:42:03 +0200] "POST http://domain.tld/wp-login.php/ HTTP/1.1" 403 2001 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2"
62.109.29.114 - - [03/Jul/2014:18:42:04 +0200] "POST http://domain.tld/wp-login.php/ HTTP/1.1" 403 1898 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2"
62.109.29.114 - - [03/Jul/2014:18:42:04 +0200] "POST http://domain.tld/wp-login.php/ HTTP/1.1" 403 1898 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2"
62.109.29.114 - - [03/Jul/2014:18:42:05 +0200] "POST http://domain.tld/wp-login.php/ HTTP/1.1" 403 1898 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.2) Gecko/2008091620 Firefox/3.0.2"
Und zum Schluss noch der Eintrag aus der jail.local:
Code:
#WP-Login
[apache-wp-login2]
enabled = true
action = iptables[name=wplogin, port=http, protocol=tcp]
sendmail-whois[name=wplogin, dest=root, sender=fail2ban@domain.tld]
filter = apache-wp-login2
logpath = /var/www/vhosts/*/logs/access_log
maxretry = 3
findtime = 900
bantime = 86400