Perguntas sobre 'fail2ban'

___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
1
resposta

fail2ban BANTIME não funciona para SASL

Meu bantime fail2ban não parece estar funcionando. Ainda recebo repetidas notificações de banimento do mesmo IP em 45 minutos um do outro. Meu bantime está definido para 24 horas. [sasl] enabled = true port = smtp filter = sasl action...
19.11.2015 / 16:53
1
resposta

Qual é a diferença entre o fail2ban e o snort?

Eu tenho um servidor que está exposto à internet e gostaria de fornecer alguma proteção contra ataques de DDOS. Atualmente, estou pensando em usar o fail2ban e / ou o snort. Eu sei que eles têm abordagens diferentes sobre como eles funcionam. Pe...
27.03.2017 / 15:06
2
respostas

erro fail2ban ao configurar o iptables no Synology NAS

Eu configurei o fail2ban 0.9.1 no meu Synology NAS para lidar com tentativas de SSH com falha. Quando inicio a cadeia, recebo os seguintes erros no fail2ban.log: 2015-02-01 17:22:52,394 fail2ban.jail [30576]: INFO Jail 'ssh-iptab...
01.02.2015 / 18:40
4
respostas

Bloquear IPs que tentam explorar vulnerabilidades comuns de webapp

Existe um aplicativo que passa pelos logs do nginx e bloqueia os IPs que fizeram solicitações de vulnerabilidades comuns de webapp? Eu tenho um servidor web nginx que serve apenas conteúdo estático. Recebo solicitações de GET /db/websql/main...
30.09.2011 / 11:02
1
resposta

fail2ban não entra em vigor

Instalei o servidor web Apache em uma instalação padrão do Ubuntu 14.04 e estou tentando usar o fail2ban para bloquear solicitações que verificam vulnerabilidades. Eu coloquei o seguinte em /etc/fail2ban/jail.local : [apache-vulnerabilit...
21.11.2015 / 05:05
1
resposta

Fail2ban não está funcionando no Ubuntu

Eu notei um monte desses w00tw00t pedidos que chegam ao meu servidor Ubuntu 12.04 e então eu instalado fail2ban. Eu segui estas instruções na configuração do Fail2ban em relação às solicitações w00tw00t. Certifiquei-me de nomear os arquivos...
12.02.2014 / 22:33
2
respostas

regex fail2ban que usa menos CPU?

Usando o fail2ban, quero banir esses spammers que enviam para um endereço de spamtrap: Oct 27 09:04:22 si68 postfix/smtpd[3240]: NOQUEUE: reject: RCPT from unknown[117.197.114.222]: 550 5.7.1 <[email protected]>: Recipient address re...
31.10.2011 / 21:48
2
respostas

fail2ban: pára as tentativas de login do pop3?

Como configuro o fail2ban para que todas as tentativas de login do pop3 sejam atendidas? Eu estou usando o Ubuntu 9.04 e aqui está um extrato do log pop3 como eu vejo nos e-mails que o Logwatch envia: LOGIN FAILED, user=Administrador, ip=[...
15.03.2011 / 19:07
1
resposta

Fail2ban não proibindo a tentativa de injeção de sql

Estou recebendo um grande número de tentativas de injeção de sql que são parecidas diariamente. Um trecho dos registros de acesso mostra: 8222 24.247.182.172 - - [09/Nov/2018:08:47:25 -0600] ***************.com "GET /Add_Product.php?strPhotoI...
09.11.2018 / 15:58
1
resposta

Posso usar o regex no logpath do fail2ban?

Estou usando CETNOS 7 , yum install fail2ban , em /etc/fail2ban/jail.local , desejo definir: [DEFAULT] apache_error_log = /var/log/httpd/*error_log /home/websites/.*?/log/errorlog para expressar: [DEFAULT] apache_error_...
12.10.2018 / 15:36