O fail2ban não corresponde a essas linhas apenas por causa da porta?

1

Gostaria que o fail2ban se envolvesse contra essas linhas e bloqueasse o endereço IP de exemplo incluído:

[Tue Dec 08 12:17:13.622175 2015] [:error] [pid 30390] [client 62.210.88.201:38139] script '/var/www/html/httptest.php' not found or unable to stat
[Tue Dec 08 13:22:25.363614 2015] [:error] [pid 30386] [client 62.210.88.201:54141] script '/var/www/html/httptest.php' not found or unable to stat
[Tue Dec 08 14:36:01.790899 2015] [:error] [pid 28831] [client 62.210.88.201:42431] script '/var/www/html/httptest.php' not found or unable to stat

O Fail2ban foi configurado com sucesso para proteger outros serviços nesta máquina, mas parece que não consigo executá-lo contra essas linhas.

[apache-noscript]
enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 2

É só porque "port = http, https" e deveria ser "ports = all"?

O filtro relevante "apache-noscript.conf" foi modificado da seguinte maneira.

^%(_apache_error_client)s script '/\S*httptest\S*(\.php|\.asp|\.exe|\.pl)\S*' not found or unable to stat\s*$
    
por user3431540 08.12.2015 / 21:41

1 resposta

1

Não, a parte port não é o problema. port é usado para definir a qual porta uma proibição se aplica depois que a regra regex é correspondida.

Eu acho que o seu regex não está funcionando como deveria ser. Você pode usar o comando fail2ban-regex para ver se está realmente funcionando e corrigi-lo, se necessário. Aqui está um exemplo de comando:

fail2ban-regex '/var/log/apache*/*access.log' /etc/fail2ban/filter.d/apache-noscript.conf

Você também pode usar o seguinte comando para ver o status da prisão:

fail2ban-client status
    
por 08.12.2015 / 22:35