Re: fail2ban und proftpd

To: debian-user-german@lists.debian.org
Subject: Re: fail2ban und proftpd
From: Benjamin Schmidt <lists.schmidi2@directbox.com>
Date: Tue, 24 Mar 2009 14:43:31 +0100
Message-id: <49C8E383.8000104@directbox.com>
Reply-to: debian-user-german@lists.debian.org
In-reply-to: <E46FE5E69E5C874598ABEF000FDE658817990D@lic-srv-ad-one.licoho.local>
References: <E46FE5E69E5C874598ABEF000FDE658817990D@lic-srv-ad-one.licoho.local>

Ronny Wagner wrote:

Hallo zusammen,

ich hab mit den RegEx Einträgen und der Reaktion von fail2ban ein paar Probleme. Bei Postfix funktioniert, bzw. reagiert er wunderbar.

Debian Etch mit Fail2Ban 0.8.3-2sid1

Trotz den Angriffen, die hier unten zu sehen sind (und diese sind öfters als 5x von der IP 207.192.213.85 gekommen), wird die IP nicht gesperrt.

Könnt Ihr mir vlt. in diesem Fall helfen?

Vielen DANK!

/var/log/auth.log

Mar 20 04:05:52 HOST proftpd[19099]: HOST (207.192.213.85[207.192.213.85]) - USER john: no such user found from 207.192.213.85 [207.192.213.85] to 83.141.25.176:21Mar 20 04:05:53 HOST proftpd[19099]: HOST (207.192.213.85[207.192.213.85]) - USER john: no such user found from 207.192.213.85 [207.192.213.85] to 83.141.25.176:21


/etc/fail2ban/jail.conf
[DEFAULT]
bantime  = 86400
maxretry = 3
[proftpd]

enabled  = true

port = ftp,ftp-data,ftps,ftps-datafilter = proftpdlogpath = /var/log/auth.log

timeregex = \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}
timepattern = %%b %%d %%H:%%M:%%S
failregex = USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$

/etc/fail2ban/filter.d/proftpd.conf
failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from\S+ \[[0-9.]+\] to \S+:\S+ *$
            \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password\.$
            \(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.$
            \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded$
            USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$
            \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+.*$
            \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[\S+\] to \S+:\S+
            \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password.*$



Scheinbar hast Du Deine Konfiguration angepasst oder die Sid-Version ist
wirklich komplett verschieden. Hohle dir die das stable-Paket, darin
findest Du funktionierende Konfigs. Die Parameter timeregex und
timepattern sagen mir nichts. Der Param failregex im
/etc/fail2ban/jail.conf ist mir auch fremd, der gehört meines Wissens
nur ins /etc/fail2ban/filter.d/proftpd.conf und dort sind mehrere
"Rules" definiert. Auf jeden Fall sind die Regeln meiner Ansicht nach
unnötig kompliziert.

Versuch mal eine der folgenden Möglichkeiten
 - Stable-Paket verwendet (oder nur Konfig abschauen)
 - Im failregex mal das abschliessendes $ löschen
 - Teste Dein Regex mittels dem Tool fail2ban-regex
 - Teste Dein Regex mittels grep (zuvor das <HOST> löschen)

A propos sid: Ich nehme mal an Du bist Dir bewusst, dass es sich hierbei
um die Unstable-Version von Debian handelt und niemals für
Produktivsysteme verwendet werden sollte.


Gib uns Bescheid über Deine Lösung, Danke.


Gruess,
Benjamin Schmidt

Reply to:

References:
- fail2ban und proftpd
  - From: "Ronny Wagner" <r.wagner@licoho.de>

Prev by Date: Re: [OT] Verschlüsseltes Laufwerk Performanceunterschied?
Next by Date: Re: Reihenfolge Netzwerk Interface
Previous by thread: fail2ban und proftpd
Next by thread: [ASUS EEE PC 1000H] Aus vorinstalliertem Win XP ein Dual-Boot-System
Index(es):
- Date
- Thread