Perguntas sobre 'fail2ban'

Tags
___ qstntxt ___

Eu tenho algumas tentativas de retransmissão como estas no meu %code% (elas totalizam 281 tentativas de conexão em menos de 3 minutos):

%pre%

Eu acho que o filtro sasl (que está ativado) deve cuidar deles, mas o ip nunca é banido. Parece que não há correspondência com a expressão failregex no filtro sasl.conf:

%pre%

Alguma dica sobre o que está falhando aqui? Qualquer maneira de corrigir o problema?

Editar: Uma pergunta mais simples que poderia ser um começo para solucionar esse problema: os avisos de LOGIN SASL em %code% correspondem à expressão failregex? Eu realmente não sei como testá-lo, e eu não tenho conhecimento suficiente sobre a regex sintax para resolver isso sozinho.

Obrigado antecipadamente.

    
___
2
respostas

Agente estranho de usuário java em access.log

Recentemente, notei uma carga enorme no meu servidor de produção principal, depois de uma análise de log eu me deparei com um grande número desses agentes de usuário originados de cerca de 20 IPs diferentes: 173.244.182.194 - - [07 / May / 20...
08.05.2013 / 10:09
1
resposta

fail2ban failregex aparentemente não está proibindo

Após perceber tentativas repetidas de acessar supostos recursos do webadmin no meu servidor em blocos pelos mesmos ips (isto é, tentativas repetidas de cada ip em uma longa lista de recursos webadmin 'comuns' do servidor, por exemplo / phpmyadmi...
09.05.2018 / 15:37
2
respostas

Como criar um filtro fail2ban para ataques phpmyadmin

Estou tentando descobrir como criar um filtro failregex para o fail2ban para proteger contra os ataques abaixo. Eu tentei as seguintes expressões failregex, mas elas não estão combinando nada do / var / log / https / error_log failregex = ^\[...
05.08.2017 / 23:50
1
resposta

Fail2ban logs de leitura do syslog / process / stdout de outra tarefa

Eu tenho uma lista de contêineres docker em execução em um servidor. Um dos contêineres é (será) o fail2ban em execução no modo privileged . Meu problema agora é passar e compartilhar o mesmo volume (arquivo de log) por meio desses contêineres...
05.10.2016 / 02:51
1
resposta

CentOS7: Execute o Fail2Ban no log existente com o novo regex

Eu adicionei algumas regras de regex para o sshd e quero banir todos os usuários em / var / log / secure que correspondam a esta regex dentro das regras da cadeia (3 tentativas, 24 horas). Mas eu não quero esperar que eles tentem novamente, e...
09.07.2016 / 12:39
1
resposta

Fail2ban não está proibindo IP

Software: Centos 7 (com firewallD) fail2ban 0.9.5 dovecot 2.2.10 Eu estou tentando configurar o fail2ban no meu servidor de email, para protegê-lo do login de força bruta através do imap (dovecot). Agora eu estou preso, e o fail2ban ainda não...
09.12.2016 / 22:09
1
resposta

fail2ban o apache-badbots não está bloqueando o IP

Estou tentando fazer com que o fail2ban bloqueie certos bots ruins que martelam meu site. Comecei com apenas habilitando o padrão "apache-badbots" em jail.local (eu mudei o logpath para coincidir com os meus próprios logs e o usuário envia relat...
29.04.2016 / 18:54
1
resposta

Fail2Ban regex para coincidir com essas linhas?

Estou tentando fazer com que o fail2ban funcione com o filtro de spam de e-mail do Xeams. Mas, não consigo descobrir qual regex possível devo usar para corresponder aos logs. Os logs estão nesse formato. 61.240.144.65 1451702136946 5 185....
02.01.2016 / 07:34
1
resposta

O fail2ban não corresponde a essas linhas apenas por causa da porta?

Gostaria que o fail2ban se envolvesse contra essas linhas e bloqueasse o endereço IP de exemplo incluído: [Tue Dec 08 12:17:13.622175 2015] [:error] [pid 30390] [client 62.210.88.201:38139] script '/var/www/html/httptest.php' not found or una...
08.12.2015 / 21:41
1
resposta

O plug-in Fail2Ban está ativado no Munin, mas as imagens do gráfico estão quebradas. Como consertar?

Instalei recentemente o Fail2Ban em um servidor Ubuntu 12.04.5 e ele está funcionando muito bem. Agora eu quero configurar o Munin para que ele possa monitorar e gerar gráficos / relatórios. Eu descobri que o Munin tem um plugin integrado do Fai...
31.10.2015 / 06:03