Ubuntu Sverige

Forum för Ubuntus svenska gemenskap
https://ubuntu-se.servebbs.org/

Fail2ban jail

https://ubuntu-se.servebbs.org/viewtopic.php?t=58697

Sida 1 av 1

Fail2ban jail

Postat: 21 feb 2014, 22:07
av torent
Försöker mig på ett jail till denna rad i logfilen:
[21/Feb/2014:18:51:17] Login failed from 192.168.1.19, username: admin, password:


med detta:
failregex = pellmon.* Non-existent login as .+ from <HOST>$
pellmon.* Invalid login as .+ from <HOST>$

samt detta:
failregex = Login failed from <HOST>$ .*
Blocked Login attempt for .* from <HOST>$
Blocked username enumeration attempt from <HOST>$
som hämtas av detta i jail.conf:
enabled = true
port = http,https
filter = pellmon-auth
logpath = /usr/local/var/log/pellmonweb/error.log
maxretry = 3
bantime = 84600

jailet startas, får startmail och så vidare.
men man blir inte bannad!

någon som ser det självklara i det felaktiga i failregex?

Re: Fail2ban jail

Postat: 25 feb 2014, 13:08
av Barre
Din pellmon-auth.conf kan eventuellt se ut så här

Kod: Markera allt

[Definition]
failregex = .*Login failed from <HOST>.*
ignoreregexp =

Re: Fail2ban jail

Postat: 26 feb 2014, 22:55
av torent
Tack för hjälpen!
fick skruva lite till på den:

failregex = ^.*Login failed from <HOST>,

vad tror du om för failregex till denna loglinen:

Kod: Markera allt

Feb 26 21:21:35 server1 sshd[4338]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.19
typ samma?

Re: Fail2ban jail

Postat: 27 feb 2014, 09:36
av Barre
får känslan av att du behöver läsa på lite om reguljära uttryck ;D
http://www.codemag.com/Article/0305041
http://coding.smashingmagazine.com/2009 ... resources/

När jag skapar nya fail2ban jails och filter så börjar jag med filtret (alltså det reguljära uttrycket som skall fånga felaktiga inlog
gningar). Det gör jag genom att skapa filternamn.conf filen och sen testar jag det filtret mot den logfil som är aktuellt med kommandot fail2ban-regex. Detta kan jag göra utan att vara root-användare.

så filtret testing.conf ser ut så här:

Kod: Markera allt

[Definition]
failregex = .*authentication failure.* rhost=<HOST>
ignoreregexp =
Nu har jag klistrat in din rad du vill fånga i en test.log fil, men hade jag haft den riktiga loggen så hade jag testat mot den.

och när jag kör fail2ban-regex

Kod: Markera allt

fail2ban-regex test.log testing.conf
så får jag resultatet:

Kod: Markera allt

Running tests
=============

Use regex file : testing.conf
Use log file   : test.log


Results
=======

Failregex
|- Regular expressions:
|  [1] .*authentication failure.* rhost=<HOST>
|
`- Number of matches:
   [1] 1 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
    192.168.1.19 (Wed Feb 26 21:21:35 2014)

Date template hits:
2 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Year.Month.Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 1

However, look at the above section 'Running tests' which could contain important
information.

Re: Fail2ban jail

Postat: 05 mar 2014, 22:07
av torent
Tack för detta!
nu rullar dessa failregex.

läste på lite,
och tänkte att jag skulle fixa mig ett jail till dns spoofing:
Mar 3 20:54:01 server1 named[18470]: client 195.7.65.20#42346: query (cache) 'www.rosewholesale.*****.com/A/IN' denied


fick bli såhär:
failregex= ^.* client <HOST>.*denied.*

blir väl en del "bannande misstänker jag;-)

Re: Fail2ban jail

Postat: 06 mar 2014, 19:19
av torent
Inser efter ett d6gns körning att detta problem får attackeras på annat vis, tyvärr så bannar den ju dns servern som kanske har goda avsikter.
Någon som har någon ide på annan lösning?

Re: Fail2ban jail

Postat: 09 mar 2014, 14:22
av torent
det fick bli detta:
http://www.thefanclub.co.za/how-to/how- ... lts-server

Re: Fail2ban jail

Postat: 19 mar 2014, 07:32
av torent
Hej igen!

är nu ifärd med att fixa ett jail till denna logline:

Kod: Markera allt

[20:36:33] [Server thread/INFO]: GameProfile{id='91f2dd4e75dd301db400395ded6f3275', name='****'} (/192.168.1.16:54702) lost connection: You are not white-listed on this server!
försöker med denna failregex, men har nog en del att lära när det gäller reguljära uttryck ;-(
vad tror du är felet?
(förutom skit bakom spakarna)
[[]client <HOST>[]] .* You are not white-listed on this server!

Re: Fail2ban jail

Postat: 19 mar 2014, 09:36
av Barre
Tjena,
Du saknar datum i loggen, det finns ju bara en tidsangivelse.
fail2ban behöver både datum och tid

Re: Fail2ban jail

Postat: 19 mar 2014, 23:07
av torent
Ja just ja, får se hur minecraftserver confas för att få till det.
Alla tidsangivelser är UTC+02:00 UTC+2
Sida 1 av 1

Powered by phpBB® Forum Software © phpBB Limited

Swedish translation by phpBB Sweden © 2006-2015