Fail2ban und w00tw00t-Scans

[d3p]

Hallo,
ich habe grad irgendwie ein Problem mit einem neuen Filter für F2B.

Jail:

[w00tw00t]
enabled  = true
filter   = w00tw00t
action   = iptables-allports
           sendmail-whois[name=w00tw00t, dest=info@MEINE-Domain]
logpath  = /var/log/httpd/error_log
maxretry = 1
bantime  = 86400

Ich würde gerne folgende Logeinträge filtern und sperren:

[Fri Mar 07 19:45:27 2014] [error] [client 198.50.154.239] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

Dafür verwende ich folgende Regel:

failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*

Mittels "fail2ban-regex" prüfe ich dann, obs auch passt.

 fail2ban-regex /var/log/httpd/error_log /etc/fail2ban/filter.d/w00tw00t.conf  --print-all-missed

Läuft einwandfrei durch, ich sehe aber weder im Syslog etwas, noch bekomme ich E-Mails von Fail2Ban.

Gruß,

 

[d3p]

Push..
Keiner ne Idee?

 

[florian030]

Was willst Du denn wissen?

fail2ban-regex generiert keine Emails oder Logeinträge und dein failregex passt nicht zum Logeintrag.

Ich würde das wenn auch nicht über das error-, sondern das access-log laufen lassen.

Das wäre dann in etwa sowas;

failregex = ^.* - <HOST> - .* \"GET /w00tw00t\.at\.ISC\.SANS.*

 

[d3p]

Was willst Du denn wissen?

Ich möchte einen entsprechenden Filter für w00tw00t-Scans erstellen der:
1. Die IP bannt
2. Mir eine entsprechende Mail schickt, dass die IP gebannt wurde.