fail2ban und proftpd
Hallo zusammen,
ich hab mit den RegEx Einträgen und der Reaktion von fail2ban ein paar Probleme. Bei Postfix funktioniert, bzw. reagiert er wunderbar.
Debian Etch mit Fail2Ban 0.8.3-2sid1
Trotz den Angriffen, die hier unten zu sehen sind (und diese sind öfters als 5x von der IP 207.192.213.85 gekommen), wird die IP nicht gesperrt.
Könnt Ihr mir vlt. in diesem Fall helfen?
Vielen DANK!
/var/log/auth.log
Mar 20 04:05:52 HOST proftpd[19099]: HOST (207.192.213.85[207.192.213.85]) - USER john: no such user found from 207.192.213.85 [207.192.213.85] to 83.141.25.176:21
Mar 20 04:05:53 HOST proftpd[19099]: HOST (207.192.213.85[207.192.213.85]) - USER john: no such user found from 207.192.213.85 [207.192.213.85] to 83.141.25.176:21
/etc/fail2ban/jail.conf
[DEFAULT]
bantime = 86400
maxretry = 3
[proftpd]
enabled = true
port = ftp,ftp-data,ftps,ftps-data
filter = proftpd
logpath = /var/log/auth.log
timeregex = \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}
timepattern = %%b %%d %%H:%%M:%%S
failregex = USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$
/etc/fail2ban/filter.d/proftpd.conf
failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+ *$
\(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password\.$
\(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.$
\(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded$
USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$
\(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+.*$
\(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[\S+\] to \S+:\S+
\(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password.*$
Reply to: