Hallo,
ich habe auf einem Server proftpd laufen (ohne das thema sftp aufzubringen). Dieser muss noch ein paar Monate so laufen. In den letzen Wochen habe ich vermerkt Loginversuche per FTP von chinesischen Server. Fail2ban läuft auf dem Server schon eine ganze Weile, jedoch musste ich feststellen, dass proftd ignoriert wird.
Die Konfiguration in der fail2ban jail.local für proftpd ist:
[proftpd]
enabled = true
port = ftp
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 3
Dennoch ist dem auth.log folgendes (Auszug aus sehr langen Versuchsliste) zu entnehmen:
Müsste hier nicht fail2ban eingreifen und den Server nach 3 Fehlversuchen für die definierte Zeit sperren? Oder muss noch was anderes für proftpd konfiguriert werden?
Die proftpd.log ist übrigens leer.
ich habe auf einem Server proftpd laufen (ohne das thema sftp aufzubringen). Dieser muss noch ein paar Monate so laufen. In den letzen Wochen habe ich vermerkt Loginversuche per FTP von chinesischen Server. Fail2ban läuft auf dem Server schon eine ganze Weile, jedoch musste ich feststellen, dass proftd ignoriert wird.
Die Konfiguration in der fail2ban jail.local für proftpd ist:
[proftpd]
enabled = true
port = ftp
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 3
Dennoch ist dem auth.log folgendes (Auszug aus sehr langen Versuchsliste) zu entnehmen:
Code:
Nov 9 08:20:49 serverAlias proftpd[26377]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER www.[geändert].de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:20:50 serverAlias proftpd[26377]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:20:53 serverAlias proftpd[26378]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:20:53 serverAlias proftpd[26378]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:20:56 serverAlias proftpd[26379]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:20:57 serverAlias proftpd[26379]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:20:59 serverAlias proftpd[26380]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER www.[geändert].de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:21:00 serverAlias proftpd[26380]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:21:03 serverAlias proftpd[26384]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:21:03 serverAlias proftpd[26384]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:21:06 serverAlias proftpd[26385]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:21:06 serverAlias proftpd[26385]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:21:09 serverAlias proftpd[26386]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER www.[geändert].de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:21:10 serverAlias proftpd[26386]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:21:12 serverAlias proftpd[26387]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:21:13 serverAlias proftpd[26387]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 08:21:16 serverAlias proftpd[26388]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21
Nov 9 08:21:16 serverAlias proftpd[26388]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed.
Nov 9 12:59:50 serverAlias proftpd[19757]: [namegeändert].vserver.de (222.186.51.140[222.186.51.140]) - USER anonymous: no such user found from 222.186.51.140 [222.186.51.140] to 62.75.*[geändert]:21
Nov 9 12:59:50 serverAlias proftpd[19757]: [namegeändert].vserver.de (222.186.51.140[222.186.51.140]) - FTP session closed.Müsste hier nicht fail2ban eingreifen und den Server nach 3 Fehlversuchen für die definierte Zeit sperren? Oder muss noch was anderes für proftpd konfiguriert werden?
Die proftpd.log ist übrigens leer.
