Fail2Ban emails não mostrando extratos de arquivos de log do Apache

Question

Fail2Ban emails não mostrando extratos de arquivos de log do Apache

1

Eu configurei recentemente o Debian Jessie em um servidor pela primeira vez. 'Obviamente' o fail2ban foi criado muito cedo no processo.

Ele está proibindo endereços IP e enviando e-mails ok, mas os baseados no Apache não contêm nenhuma extração dos arquivos de log relevantes. Os baseados em SSH, por exemplo, fazem.

Exemplo de relatório do Apache:

Hi,

The IP 193.201.227.112 has just been banned by Fail2Ban after
5 attempts against apache-xmlrpc.


Here is more information about 193.201.227.112:

(info about it deleted)


Lines containing IP:193.201.227.112 in /home/*/logs/*access.log



Regards,

Fail2Ban

Exemplo de relatório SSH:

Hi,

The IP 184.173.26.138 has just been banned by Fail2Ban after
3 attempts against ssh.


Here is more information about 184.173.26.138:

(info about it deleted)


Lines containing IP:184.173.26.138 in /var/log/auth.log

Nov  5 08:21:38 example sshd[20158]: Failed password for invalid user ubnt from 184.173.26.138 port 51131 ssh2
Nov  5 08:21:38 example sshd[20158]: error: Received disconnect from 184.173.26.138: 3: com.jcraft.jsch.JSchException: Auth fail [preauth]


Regards,

Fail2Ban

/etc/fail2ban/jail.local extract:

action    = %(action_mwl)s

# JAILS

[ssh]

enabled   = true
maxretry  = 3

(..)

[apache-xmlrpc]

enabled  = true
port     = http,https
action   = %(action_mwl)s
filter   = apache-xmlrpc
logpath  = /home/*/logs/*access.log
maxretry = 5

Alguma coisa mudou entre o Debian Wheezy (onde estava incluindo as linhas do arquivo de log em ambos) e Jessie?

Detalhes de arquivos e linhas de log ausentes do relatório do Apache em pastebin.com/qK8ARrsz (acionar erro de spam falso positivo aqui!)

(Adicionado depois) /var/log/fail2ban.log não está reclamando:

2015-11-04 23:27:08,862 fail2ban.actions[1993]: WARNING [ssh] Ban 109.161.203.139
2015-11-04 23:38:58,786 fail2ban.actions[1993]: WARNING [ssh] Unban 59.47.0.148
2015-11-05 00:55:53,869 fail2ban.actions[1993]: WARNING [ssh] Ban 14.29.113.190
2015-11-05 00:57:38,031 fail2ban.actions[1993]: WARNING [ssh] Ban 109.161.216.214
2015-11-05 05:47:06,644 fail2ban.filter [1993]: WARNING Determined IP using DNS Lookup: mbl-109-61-47.dsl.net.pk = ['124.109.61.47']
2015-11-05 05:47:13,282 fail2ban.actions[1993]: WARNING [ssh] Ban 124.109.61.47
2015-11-05 08:00:20,049 fail2ban.actions[1993]: WARNING [apache-xmlrpc] Ban 193.201.227.112
2015-11-05 08:21:36,278 fail2ban.filter [1993]: WARNING Determined IP using DNS Lookup: 8a.1a.adb8.ip4.static.sl-reverse.com = ['184.173.26.138']
2015-11-05 08:21:39,333 fail2ban.filter [1993]: WARNING Determined IP using DNS Lookup: 8a.1a.adb8.ip4.static.sl-reverse.com = ['184.173.26.138']
2015-11-05 08:21:39,858 fail2ban.actions[1993]: WARNING [ssh] Ban 184.173.26.138

Por um lado, não é um problema enorme porque eles ainda estão sendo banidos, mas por outro lado, eu uso um filtro Apache em particular para ver quais arquivos estão procurando por todos os lugares - fckeditor ou uploadify.php etc - para que possam ser banidos antes.

Obrigado.

fail2ban apache-2.4 debian-jessie

por Ian 05.11.2015 / 11:32

0 respostas

Tags fail2ban apache-2.4 debian-jessie

Silverstripe O editor do NGINX Tiny MCE não está carregando Como carrego mod_version somente se não estiver embutido no apache?