Fail2ban jail

torent · Inlägg av **torent** » 21 feb 2014, 22:07

Försöker mig på ett jail till denna rad i logfilen:
[21/Feb/2014:18:51:17] Login failed from 192.168.1.19, username: admin, password:

med detta:
failregex = pellmon.* Non-existent login as .+ from <HOST>$
pellmon.* Invalid login as .+ from <HOST>$

samt detta:
failregex = Login failed from <HOST>$ .*
Blocked Login attempt for .* from <HOST>$
Blocked username enumeration attempt from <HOST>$
som hämtas av detta i jail.conf:
enabled = true
port = http,https
filter = pellmon-auth
logpath = /usr/local/var/log/pellmonweb/error.log
maxretry = 3
bantime = 84600

jailet startas, får startmail och så vidare.
men man blir inte bannad!

någon som ser det självklara i det felaktiga i failregex?

Barre · Inlägg av **Barre** » 25 feb 2014, 13:08

Din pellmon-auth.conf kan eventuellt se ut så här

Kod: Markera allt

[Definition]
failregex = .*Login failed from <HOST>.*
ignoreregexp =

torent · Inlägg av **torent** » 26 feb 2014, 22:55

Tack för hjälpen!
fick skruva lite till på den:

failregex = ^.*Login failed from <HOST>,

vad tror du om för failregex till denna loglinen:

Kod: Markera allt

Feb 26 21:21:35 server1 sshd[4338]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.19

typ samma?

Barre · Inlägg av **Barre** » 27 feb 2014, 09:36

får känslan av att du behöver läsa på lite om reguljära uttryck

http://www.codemag.com/Article/0305041
http://coding.smashingmagazine.com/2009 ... resources/

När jag skapar nya fail2ban jails och filter så börjar jag med filtret (alltså det reguljära uttrycket som skall fånga felaktiga inlog
gningar). Det gör jag genom att skapa filternamn.conf filen och sen testar jag det filtret mot den logfil som är aktuellt med kommandot fail2ban-regex. Detta kan jag göra utan att vara root-användare.

så filtret testing.conf ser ut så här:

Kod: Markera allt

[Definition]
failregex = .*authentication failure.* rhost=<HOST>
ignoreregexp =

Nu har jag klistrat in din rad du vill fånga i en test.log fil, men hade jag haft den riktiga loggen så hade jag testat mot den.

och när jag kör fail2ban-regex

Kod: Markera allt

fail2ban-regex test.log testing.conf

så får jag resultatet:

Kod: Markera allt

Running tests
=============

Use regex file : testing.conf
Use log file   : test.log


Results
=======

Failregex
|- Regular expressions:
|  [1] .*authentication failure.* rhost=<HOST>
|
`- Number of matches:
   [1] 1 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
    192.168.1.19 (Wed Feb 26 21:21:35 2014)

Date template hits:
2 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Year.Month.Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 1

However, look at the above section 'Running tests' which could contain important
information.

torent · Inlägg av **torent** » 05 mar 2014, 22:07

Tack för detta!
nu rullar dessa failregex.

läste på lite,
och tänkte att jag skulle fixa mig ett jail till dns spoofing:
Mar 3 20:54:01 server1 named[18470]: client 195.7.65.20#42346: query (cache) 'www.rosewholesale.*****.com/A/IN' denied

fick bli såhär:
failregex= ^.* client <HOST>.*denied.*

blir väl en del "bannande misstänker jag;-)

torent · Inlägg av **torent** » 06 mar 2014, 19:19

Inser efter ett d6gns körning att detta problem får attackeras på annat vis, tyvärr så bannar den ju dns servern som kanske har goda avsikter.
Någon som har någon ide på annan lösning?

torent · Inlägg av **torent** » 09 mar 2014, 14:22

det fick bli detta:
http://www.thefanclub.co.za/how-to/how- ... lts-server

torent · Inlägg av **torent** » 19 mar 2014, 07:32

Hej igen!

är nu ifärd med att fixa ett jail till denna logline:

Kod: Markera allt

[20:36:33] [Server thread/INFO]: GameProfile{id='91f2dd4e75dd301db400395ded6f3275', name='****'} (/192.168.1.16:54702) lost connection: You are not white-listed on this server!

försöker med denna failregex, men har nog en del att lära när det gäller reguljära uttryck ;-(
vad tror du är felet?
(förutom skit bakom spakarna)
[[]client <HOST>[]] .* You are not white-listed on this server!

Barre · Inlägg av **Barre** » 19 mar 2014, 09:36

Tjena,
Du saknar datum i loggen, det finns ju bara en tidsangivelse.
fail2ban behöver både datum och tid

torent · Inlägg av **torent** » 19 mar 2014, 23:07

Ja just ja, får se hur minecraftserver confas för att få till det.

Ubuntu Sverige

Fail2ban jail

Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail

Re: Fail2ban jail