Eu tenho o fail2ban rodando em um servidor centos 6.8; tudo está bem. Escrevi um filtro simples para observar as kiddies de script, como:
[Definition]
failregex = <HOST> .*GET \/admin/config.php
<HOST> .*GET \/blog\/
<HOST> .*GET \/backup.sql.gz
<HOST> .*GET \/backup.sql.bz2
...
Isso funciona bem e produz mensagens em /var/log/fail2ban.log como:
2017-04-19 11:12:40,333 fail2ban.filter [7181]: INFO [poison-attempts] Found 156.205.xxx.xxx
2017-04-19 11:12:40,900 fail2ban.actions [7181]: NOTICE [poison-attempts] Ban 156.205.xxx.xxx
Então: É possível alterar essas mensagens de log para que elas incluam o padrão que causou o disparo da regra? Talvez algo como:
2017-04-19 11:12:40,333 fail2ban.filter [7181]: INFO [poison-attempts] Found 156.205.xxx.xxx requesting /backup.sql.gz
ou algo similar? Não é grande coisa, mas seria bem legal. Obrigado!
Tags fail2ban