O regex Fail2ban não corresponde ao meu log

1

Estou tentando criar um failregex no Fail2ban para encontrar essas linhas (e endereços IP), mas não consigo escrevê-lo.

As minhas linhas de registro são como estas:

[Thu Sep 22 10:28:32.215159 2016] [:error] [pid 1616] [client 83.143.240.13:54895] FastCGI: server "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com" stderr: PHP message: WP login failed for username: admin, referer: http://blogginger.com/wp-login.php

[Thu Sep 22 04:38:01.588441 2016] [:error] [pid 24937] [client 49.151.91.8:58121] FastCGI: server "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com" stderr: PHP message: WP login failed for username: admin, referer: http://blogginger.com/wp-login.php

E esta é a minha linha failregex em attack.conf:

failregex = [[]client <HOST>[]] WP login failed.*

Mas isso não funciona. Não há correspondência.

Qual é a linha correta do failregex para encontrar essas linhas de registro?

Obrigado!

    
por Feriman 22.09.2016 / 19:25

2 respostas

1

Tente

failregex = \[client <HOST>:\d+\] .* WP login failed

Você pode usar o utilitário fail2ban-regex para testar regexes em relação a arquivos de entrada de exemplo. Isso é muito mais rápido e fácil do que tentar fazer isso com os registros ao vivo.

    
por 22.09.2016 / 22:50
1

tente com

failregex = [[]client <HOST>[]] .*WP login failed.*
    
por 22.09.2016 / 20:33