FTP absichern mit fail2ban, der verflixte Log will nicht

[tobi4]

Hallo,

nachdem ich SSH erfolgreich mit fail2ban abgesichert habe, sollte es nun FTP sein.

Zuerst gab es das Problem, dass normale Meldungen über session opened / closed im Log /var/log/messages waren. Aber keine Info über Fehlzugriffe (diese wurden auch einfach mit session opened / closed verzeichnet).
Es wird Plesk verwendet, und wie ich erfahren habe, speichert Plesk keine Logs für sein xinetd.

Für fail2ban brauche ich ja eine Meldung wie z.B. "no such user found from", aus dem failregex von fail2ban/filter.d/proftpd.conf.

Nun habe ich nach einer Lösung gesucht, und auch gemeint sie gefunden zu haben: http://tscadfx.com/installing-fail2ban-on-centos-with-plesk/

Demnach habe ich die /etc/proftpd.conf um ein ExtendedLog erweitert, ein Logformat angegeben und das entsprechende Verzeichnis für den Log in /var/log -> proftpd angelegt.
xinetd restartet.
Die daraufhin in meinem neuen FTP-Log geloggten Einträge sind lächerlich:

ProFTPD [26/May/2014:18:27:17 +0200]

Fertig. Mehr nicht.
Also habe ich das Log-Format angepasst: %h %l %u %t \"%r\" %s %b

Nun sehen die Einträge so aus:

meine-IP UNKNOWN - [26/May/2014:18:49:20 +0200] "USER tobi4" 331 -
meine-IP UNKNOWN - [26/May/2014:18:49:20 +0200] "PASS (hidden)" 530 -

Ferig. Mehr nicht. Keine Info über nicht vorhandenen User etc. Nix.

Ich bin hier am Ende und weiß nicht mehr weiter. Ich weiß nur, wenn in diesem Log nicht steht dass der User nicht gefunden wurde, kann fail2ban nicht wissen, dass er nach der angegebenen Zahl an Versuchen diese IP sperren soll.
Vielleicht kann man über diesen Statuscode was anfangen und dieses regex von fail2ban anpassen, oder man muss diesem verflixten Log beibringen, reinzuschreiben was Sache ist.

Was tun?

Danke.

 

[sbr2d2]

Kann es möglich sein, das Plesk das System etwas umbiegt und irgendwo anders vielleicht noch ein Logfile sein könnte, wo das drin steht was du brauchst?

 

[tobi4]

Hmm, das Plesk da einiges umbiegt kann ich mir gut vorstellen, aber dafür hat man weniger Arbeit, denn Webserver, Maildienste, PHP, FTP und der ganze Kram läuft nach der Install von Plesk.

In der /etc/proftpd.conf ist folgendes definiert:

TransferLog /usr/local/psa/var/log/xferlog

Der xferlog ist aber leer. Es gibt noch einen xferlog.processed, der enthält nur alle Dateien die ich hoch- und runtergeladen hab. Deswegen wohl TransferLog...

Ansonsten habe ich in /var/log keinen gescheiten FTP-Log mit Anmeldeversuchen etc. gefunden.

Gruß

 

[d3p]

Unter /var/log/secure wirste fündig.

#less /var/log/secure-* | grep failed
May 15 19:49:34 XXXX proftpd[1231]: 178.XX.XX.XX (XXXXXXXX[XXXXXXXX]) - USER XXXXX (Login failed): Incorrect password.
May 15 19:49:35 XXXX proftpd[1232]: 178.XX.XX.XX (XXXXXXXX[XXXXXXXX]) - USER XXXXX (Login failed): Incorrect password.

 

[tobi4]

Unter /var/log/secure wirste fündig.

Du bist ein Schatz.

May 26 19:12:20 nsxxx proftpd[26619]: server-IP (meine-IP[meine-IP]) - USER tobi4: no such user found from meine-IP [meine-IP] to xxx:21

Warum bin ich da nicht selbst drauf gekommen? Ich habe doch schon öfter, auch heute, in diesen Log geschaut. Hätte aber niemals den proftpd-Kram dort vermutet. Hatte eher nach einem eigenen FTP/xinet-Logfile gesucht. Habe vom anderen Server in Erinnerung, dass dort die ganzen endlosen SSH-Fehllogins gespeichert werden.

Juhu! Es klappt!

2014-05-26 20:07:53,386 fail2ban.actions: WARNING [proftpd-iptables] Ban meine-IP

Danke.