D
Deleted member 14254
Guest
Hallo Zusammen,
Habe gestern, nachdem ich mich mit der Aufstellung einiger F2B-Jails umfangreich befasst habe, gegen Abend einen Test gewagt, um den 404-Fehler zu provozieren...
Habe, wie in einem anderen Thread ("Grundrauschen?") nun die folgenden Chains (Jails) aktiv:
Das komische ist, das alle Jails ohne probleme von F2B gestartet werden. Kommentiere ich die "sendmail-Zeile" (entferne die #) - wird mir gar per Systemmail das erfolgreiche Starten aller Jails gemailed.
Das komische ist nur, das, wenn ich:
eingebe, um zu prüfen, jede der CHAINS (0 references) besitzt... Ich habe mit einer im F2B nicht eingetragenen IP getestet um /meine-ip/phpmyadmin/index.php aufzurufen, die es - wissentlich - dort nicht gibt. Ich wollte ja, wie oben beschrieben, den 404-Fehler provozieren, um F2B zu zanken
Die apache-404-Jail hat folgenden Filter:
Hat Jemand vielleicht eine Idee? Weil ich suche mir irgendwie den Wolf.
Vielen Dank für Eure Hilfe!
Habe gestern, nachdem ich mich mit der Aufstellung einiger F2B-Jails umfangreich befasst habe, gegen Abend einen Test gewagt, um den 404-Fehler zu provozieren...
Habe, wie in einem anderen Thread ("Grundrauschen?") nun die folgenden Chains (Jails) aktiv:
Code:
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
# sendmail-whois[name=SSH, dest=meineMail-Adresse]
logpath = /var/log/auth.log
maxretry = 3
[ssh-ddos-iptables]
enabled = true
filter = sshd-ddos
action = iptables[name=SSH, port=ssh, protocol=tcp]
# sendmail-whois[name=SSH, dest=meineMail-Adresse]
logpath = /var/log/auth.log
maxretry = 3
[postfix-iptables-multiport]
enabled = true
filter = postfix
action = iptables-multiport[name=Postfix, port="pop3,imap", protocol=tcp]
# sendmail-whois[name=Postfix, dest=meineMail-Adresse]
logpath = /var/log/mail.log
maxretry = 3
[dovecot-iptables-multiport]
enabled = true
filter = dovecot
action = iptables-multiport[name=Dovecot, port="pop3,imap", protocol=tcp]
# sendmail-whois[name=Dovecot, dest=meineMail-Adresse]
logpath = /var/log/mail.log
maxretry = 3
[apache-auth]
enabled = true
filter = apache-auth
action = iptables-multiport[name=Apache-Auth, port="http,https", protocol=tcp]
# sendmail-buffered[name=Apache-Auth, lines = 5, dest=meineMail-Adresse]
logpath = /var/log/apache2/access_log
bantime = 1200
maxretry = 3
[apache-badbots]
enabled = true
filter = apache-badbots
action = iptables-multiport[name=Apache-BadBots, port="http,https", protocol=tcp]
# sendmail-buffered[name=Apache-BadBots, lines = 5, dest=meineMail-Adresse]
logpath = /var/log/apache2/access_log
bantime = 86400
maxretry = 1
[apache-nohome]
enabled = true
filter = apache-nohome
action = iptables-multiport[name=Apache-nohome, port="http,https", protocol=tcp]
# sendmail-buffered[name=Apache-nohome, lines = 5, dest=meineMail-Adresse]
logpath = /var/log/apache2/access_log
bantime = 86400
maxretry = 1
[apache-noscript]
enabled = true
filter = apache-noscript
action = iptables-multiport[name=Apache-noscript, port="http,https", protocol=tcp]
# sendmail-buffered[name=Apache-noscript, lines = 5, dest=meineMail-Adresse]
logpath = /var/log/apache2/access_log
bantime = 86400
maxretry = 1
[apache-overflows]
enabled = true
filter = apache-overflows
action = iptables-multiport[name=Apache-overflows, port="http,https", protocol=tcp]
# sendmail-buffered[name=Apache-overflows, lines = 5, dest=meineMail-Adresse]
logpath = /var/log/apache2/access_log
bantime = 86400
maxretry = 1
[apache-404block]
enabled = true
filter = apache-404block
action = iptables-multiport[name=Apache-404-block, port="http,https", protocol=tcp]
# sendmail-buffered[name=Apache-404-block, lines = 5, dest=meineMail-Adresse]
logpath = /var/log/apache2/access_log
bantime = 86400
maxretry = 5
Das komische ist, das alle Jails ohne probleme von F2B gestartet werden. Kommentiere ich die "sendmail-Zeile" (entferne die #) - wird mir gar per Systemmail das erfolgreiche Starten aller Jails gemailed.
Das komische ist nur, das, wenn ich:
Code:
iptables -L -v
Die apache-404-Jail hat folgenden Filter:
Code:
[Definition]
# Option: failregex
# Notes.: regex to match failures to find a home directory on a server, which
# became popular last days. Most often attacker just uses IP instead of
# domain name -- so expect to see them in generic error.log if you have
# per-domain log files.
# Values: TEXT
#
#failregex = <HOST> - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$
failregex = <HOST> - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Hat Jemand vielleicht eine Idee? Weil ich suche mir irgendwie den Wolf.
Vielen Dank für Eure Hilfe!