Re: fail2ban et proftpd

[Revolver Onslaught <revolver.onslaught@gmail.com>]

Hello,

Finalement, je viens de trouver la solution: installer le backport de fail2ban.
http://www.backports.org/dokuwiki/doku.php?id=instructions

Le fichier de fail2ban pour proftpd du package corrige ces problèmes.

En espérant que ça puisse en aider d'autres...

R.O.

On Wed, Feb 4, 2009 at 3:13 PM, Revolver Onslaught
<revolver.onslaught@gmail.com> wrote:
> Bonjour à tous,
>
> Ma regex fournie avec fail2ban ne fonctionnait pas avec proftpd. J'ai
> donc fait un tour sur Google (pendant 2 heures) mais malheureusement,
> ça ne fonctionne toujours pas.
>
> Voici les regex pour proftpd:
> failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from
> \S+ \[[0-9.]+\] to \S+:\S+$
>            \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\):
> Incorrect password\.$
>            \(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.$
>            \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded$
>
> Lors du restart du service, je vois ceci dans les logs :
> Restarting authentication failure monitor: fail2ban.
>
> 2009-02-04 15:13:55,356 fail2ban.filter : ERROR  Unable to compile
> regular expression \(\S+\[(?:::f{4,6}:)?(?P<host>\S+)\]\)[: -]+ USER
> \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+$
>
> L'un d'entre vous a-t-il la bonne regex svp ?
>
> J'ai également cecci dans les logs:
> iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh
> returned 200
> iptables -I INPUT -p "tcp -m multiport --dports "ftp -j
> fail2ban-proftpd returned 200
> iptables -I INPUT -p "tcp -m multiport --dports "ssh -j
> fail2ban-ssh-ddos returned 200
> i
> Une idée ?
>
> Merci d'avance.
>
> R.O.
>
> Fail2Ban v0.7.5
> iptables v1.3.6
>