Hallo Gemeinde,
Ich versuche gerade fail2ban auf einem vServer (Debian Etch) zum funktionieren zu überreden. Sinn: ungebetene Bruteforce Angriffe abwehren, demnach bezieht sich alles auf fehlgeschlagene Login-Versuche. Leider meint fail2ban-regex "Sorry, no match", und zwar bei folgenden Filtern/Logfiles:
sshd
apache-auth
courierlogin
postfix
Also genaugenommen alle Leider steh ich mit Regexps auf Kriegsfuß. Könnte mir jemand, der das schon richtig geschrieben hat, Hilfestellung leisten?
So sieht es im Moment aus:
sshd – regexp:
[PHP](?:(?:Authentication failure|Failed [-/\w+]+) for(?: [iI](?:llegal|nvalid) user)?|[Ii](?:llegal|nvalid) user|ROOT LOGIN REFUSED) .*(?: from|FROM) <HOST>(?: port \d*)?(?: ssh\d*)?\s*$[/PHP]
log:
[PHP]Aug 10 22:15:30 vxxxxxxxxx sshd[21769]: Failed password for foo from a.b.c.d port 4965 ssh2[/PHP]
apache-auth – regexp:
[PHP][[]client <HOST>[]] user .*(?:: authentication failure|not found|password mismatch)[/PHP]
log:
[PHP][Tue Aug 11 00:11:23 2009] [error] [client a.b.c.d] user foo not found: /topsecret[/PHP]
courierlogin - regexp:
[PHP]failregex = LOGIN FAILED, ip=\[<HOST>\]$[/PHP]
log:
[PHP]Aug 10 23:15:55 vxxxxxxxxx courierpop3login: LOGIN FAILED, user=foo@bar.org, ip=[::ffff:a.b.c.d][/PHP]
postfix - regexp
[PHP]reject: RCPT from (.*)\[<HOST>\]: 554[/PHP]
Sollten die Logs dazu auch in der mail.log sein?
mfg,
Firebird