0

私は正規表現が得意ではありません - そのため、ブルート フォース SMTP 攻撃を示す plesk メール ログ文字列と一致しないようです -

私のログは次のようになります。

May 19 03:24:58 gohhllc smtp_auth[22702]: SMTP connect from mail.globaltrbilisim.com [213.144.99.201]
May 19 03:24:58 gohhllc smtp_auth[22702]: No such user 'chuong@drophit.net' in mail authorization database
May 19 03:24:58 gohhllc smtp_auth[22702]: FAILED: chuong@drophit.net - password incorrect from mail.globaltrbilisim.com [213.144.99.201]

場合によってはこんな感じも

May 19 03:25:22 gohhllc smtp_auth[23056]: SMTP connect from 89-97-124-22.fweds-spc.it [89.97.124.22]
May 19 03:25:22 gohhllc smtp_auth[23056]: FAILED: element - password incorrect from 89-97-124-22.fweds-spc.it [89.97.124.22]

ユーザー名の失敗とパスワードの両方に一致する私の正規表現の試みは、次のようになります

failregex = No such user '.*' in mail authorization database
FAILED: .* - password incorrect from [<HOST>]

役に立たない他の 20 以上のコンボに加えて、ほとんどの場合、結果はこのようなエラーになります。

Unable to compile regular expression 'FAILED:

ありがとう

4

1 に答える 1

0

私はこれに取り組み、http://www.regexr.com/を使用して、これを機能させるためにかなり簡単な正規表現を書くことができました(私はそれが上手になっていると思います)。

Pleask と Qmail (少なくとも私のサーバーでは) を使用する場合の smtp-auth の結果のステートメントは次のとおりです。

failregex = FAILED: [-/\w]+ - password incorrect from <HOST>

「no such user」エントリの場合、このエントリのログ ファイルにはホスト名がなく、fail2ban にはホスト名が必要なため、これを機能させることができませんでした :(

于 2015-05-20T15:51:49.700 に答える