ich hab da auch logs aber der das was er sucht das steht bei mir in der auth.log drin.mom ich teste ,hättest auch selber machen können.
edit
nö werde nicht gebannt
schaue mal in der auth.log rein da müßte nu was drin stehen bei dir oder?
ich hab da auch logs aber der das was er sucht das steht bei mir in der auth.log drin.mom ich teste ,hättest auch selber machen können.
edit
nö werde nicht gebannt
schaue mal in der auth.log rein da müßte nu was drin stehen bei dir oder?
Hey,
ja session closed for user root, müsstest du gewesen sein.
dann werde ich das mal kurz ändern.
Danke Gruß
USER root: no such user found from 111.222.333.333 das müßte da stehen
du mußt denn auch /var/log/auth.log drin haben in der jail.conf
Das ist das einizige letzte halbe Stunde in meiner auth.log
Feb 25 22:39:01 v22 CRON[26098]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 25 22:39:01 v22 CRON[26098]: pam_unix(cron:session): session closed for user root
Feb 25 22:54:29 v22 sshd[31744]: pam_unix(sshd:session): session closed for user root
in proftpd log steht das
USER ghvhgvh: no such user found from ........ [::ffff:95.51] to ::ffff:78.90:21
Gruß
hmm nicht sowas?
Feb 24 23:24:12 vxxxxxxx proftpd[2237]: 46.xx.xxx.112 (178.xx.74.xx[178.xx.74.xx]) - USER root: no such user found from 178.xx.74.xx [178.xx.74.xx] to 46.xx.xxx.112:21
Feb 24 23:24:16xxxxxxxxxxxxxxx proftpd[2190]: 46.xx.xxx.112 (178.xx.74.xx[178.xx.74.xx]) - FTP session closed.
Ja das steht jetzt bei mir in der proftpd.log meinte ich
denn ist die proftpd.log richtig für dich
aber komisch warum ich nicht gebannt wurde
ja, so hab es nun neugestartet
ne bin nicht gebannt
bei dir stimmt was nicht
edit
wie sieht deine proftpd.conf aus?
Ja ich werde auch nicht geschmissen
wie sieht deine proftpd.conf aus?
Debian Squeeze 64bit + ispCP
bei mir ists bestimmt wegen ispcp anders mit den logs
So
Script entfernt
nimm das mal bitte wieder raus da sind meine ips drin ...
meine proftpd.conf /etc/fail2ban/filter.d
Achso die conf meinste:
QuoteDisplay More# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 728 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[\S+\] to \S+:\S+ *$
\(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): .*$
\(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\. *$
\(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded *$
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
denn überprüfe mal die failregex in der conf mit den in den logs ob die passen
meinst du in der proftpd.log oder?
jo glaub da stand das bei dir drin mit no such user found from und überprüfe ob das alles so drin steht wie in den failregex(Groß und kleinschreibung)
Hey,
kannst du nochmal testen ob der jetzt bannt, normal müsste es jetzt gehen.
Gruß
nö geht nicht ,hast fail2ban neugestartet wenn du was geändert hast?
Hey,
habs vergessen neuzustarten sorry, kannst es nochmals bitte kurz testen?
Gruß