Gerade ist die Scripterei rund um die Attacken gegen den rootserver von Erfolg gekrönt,da habe ich mal meine bereits seit Anfang an bestehende fail2ban Konfiguration überarbeitet. Das Apache_log ist per Debian default in der fail2ban.conf so eingestellt, das nur brute force passwort Attacken geblockt werden. Dank der flexiblen regulären expressions kann man damit aber auch ganz andere Dinge tun.
Eine andere Methode: spammer-spider-leecher-mittels-fail2ban-aussperren
#/etc/fail2ban/filter.d/apache-auth.conf
[Definition]
failregex = .*\|\|\|\|.*\|\|\|\|.*(?:w00tw00t.*DFind*|libwww-*)
ignoreregex =
# Viel lieber würde ich so etwas einsetzen, dazu bin ich aber offensichtlich zu blödDie Jail.conf sieht so aus.
failregex = pattern 1
pattern2
pattern n
# das klappt aber leider nicht, aber ich arbeite noch mal damit
#jail.confZum Thema:debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies (unbedingt auch die Kommentare lesen!)
[apache]
enabled = true
port = http
filter = apache-auth
#logpath = /var/log/apache*/*access.log
logpath = /var/log/httpd/ispconfig_access_log
maxretry = 1
bantime = 6000
Eine andere Methode: spammer-spider-leecher-mittels-fail2ban-aussperren
Servus,
fail2ban unterstützt mehrere Regexp - wie in deinem Wunschszenario. Leider ist die Version im Debian Repository zu alt dafür, weswegen ich auf die Version aus den backports zurückgreife.
Viele Grüße Thomas
Na, das ist mal 'ne gute Nachricht! Danke! Dann werde ich mich mal ans updaten machen.
Hmpf, ich steh' gerade vorm gleichen Problem:
w00tw00t schreibt mir das Log voll. Ich hatte mal einen Regex, der in der alten Version gut funktioniert hat, aber dummerweise habe ich den rm't... (lange Geschichte...)
Jetzt bin ich auf der Suche nach entweder einem gültigen Regex oder evtl. eine Möglichkeit, dat alte fail2ban loszuwerden und gegen ein neueres einzutauschen...
Any clues...?
Recht so?
und in jail.conf
Hmpf, mein String sieht aber so aus: