fail2ban - Proftpd Fehlversuche werden nicht gebannt

555nase

New Member
Hallo,

ich habe auf einem Server proftpd laufen (ohne das thema sftp aufzubringen). Dieser muss noch ein paar Monate so laufen. In den letzen Wochen habe ich vermerkt Loginversuche per FTP von chinesischen Server. Fail2ban läuft auf dem Server schon eine ganze Weile, jedoch musste ich feststellen, dass proftd ignoriert wird.

Die Konfiguration in der fail2ban jail.local für proftpd ist:
[proftpd]
enabled = true
port = ftp
filter = proftpd
logpath = /var/log/proftpd/proftpd.log
maxretry = 3

Dennoch ist dem auth.log folgendes (Auszug aus sehr langen Versuchsliste) zu entnehmen:
Code:
Nov  9 08:20:49 serverAlias proftpd[26377]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER www.[geändert].de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:20:50 serverAlias proftpd[26377]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:20:53 serverAlias proftpd[26378]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:20:53 serverAlias proftpd[26378]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:20:56 serverAlias proftpd[26379]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:20:57 serverAlias proftpd[26379]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:20:59 serverAlias proftpd[26380]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER www.[geändert].de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:21:00 serverAlias proftpd[26380]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:21:03 serverAlias proftpd[26384]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:21:03 serverAlias proftpd[26384]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:21:06 serverAlias proftpd[26385]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:21:06 serverAlias proftpd[26385]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:21:09 serverAlias proftpd[26386]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER www.[geändert].de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:21:10 serverAlias proftpd[26386]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:21:12 serverAlias proftpd[26387]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]de: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:21:13 serverAlias proftpd[26387]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 08:21:16 serverAlias proftpd[26388]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - USER [geändert]: no such user found from 36.248.167.181 [36.248.167.181] to 62.75.*[geändert]:21 
Nov  9 08:21:16 serverAlias proftpd[26388]: [namegeändert].vserver.de (36.248.167.181[36.248.167.181]) - FTP session closed. 
Nov  9 12:59:50 serverAlias proftpd[19757]: [namegeändert].vserver.de (222.186.51.140[222.186.51.140]) - USER anonymous: no such user found from 222.186.51.140 [222.186.51.140] to 62.75.*[geändert]:21 
Nov  9 12:59:50 serverAlias proftpd[19757]: [namegeändert].vserver.de (222.186.51.140[222.186.51.140]) - FTP session closed.

Müsste hier nicht fail2ban eingreifen und den Server nach 3 Fehlversuchen für die definierte Zeit sperren? Oder muss noch was anderes für proftpd konfiguriert werden?

Die proftpd.log ist übrigens leer.
 
logpath = /var/log/proftpd/proftpd.log

Dennoch ist dem auth.log [...]

Die proftpd.log ist übrigens leer.

Du weist Fail2Ban an, im proftpd.log zu schauen, aber im auth.log stehen ja die relevanten Dinge.

Du musst also anstatt dem proftpd.log das auth.log hinterlegen, ansonsten wirds schwierig mit einem leeren Log irgendwas zu sperren. ;)
 
Ah verstehe, ich dachte das wäre der log in dem fail2ban dann logged wann wer gesperrt wurde. Ich versuche es mal. Danke schön.
 
Back
Top