問題タブ [fail2ban]

こんにちは。

IPv4 をキャッチするフィルターを作成しました (動作中)

マニュアルには、HOST は式のエイリアスであると記載されています

質問: 1.1.1.1/24 などのサブネットのアドレスで「食べる」という上記の表現を変更するにはどうすればよいですか?

ありがとうございました！

私は glpi を使用しており、失敗したログイン試行を fail2ban で監視したいと考えています。ログファイルは次のとおりです。

ログイン試行が失敗し、fail2ban で IP を禁止したい場合は、このログ ファイルの正規表現ルールが必要です。

誰か助けてくれませんか？

ありがとう！

plesk 12.0.18 Update #96 OS: Ubuntu 14.04.3 LTS plesk を介して fail2ban をインストールしましたが、何らかの理由で postfix サーバーでの試行の失敗をブロックしていません。

iptables を介してこの ip myslef をブロックする必要がありました -fail2ban のログを確認すると、ip をブロックしようとしたことを示すものさえ何もありません。

明けましておめでとうございます！

そのため、Fail2Ban を使用して FreeSwitch ログ ファイルを読み取るときに、攻撃者のホス​​ト IP を照合するのに苦労しました。これが間違ったフォーラムである場合はご容赦ください。しかし、これを投稿する場所が他に思いつきませんでした。

ログ行は次のとおりです。

これは私の最初の試みでした：

これは私の2回目の試みでした（最初の単純化）：

私の問題は、 変数217.79.182.240:5080に渡されるように、この文字列の Port# から IP アドレスを取り除くのに苦労していることです。<HOST>REGEX 構成に関する私の理解は障害にぶつかり、このフォーラムで他の人の専門知識を組み合わせて使用​​することができました。

サーバーでnoscriptに対してfail2banを構成しました。ただし、コンテンツを Facebook に共有するためのウィジェットがいくつかあります。

今、私はこのアラートを受け取っています:

問題は、ルールを削除するか、このメッセージを無視するかです。私が見る限り、コンテンツはとにかく共有されています。しかし、ここでの正しいアクションについてはわかりません。

ルール：

ゴースト管理者！

ゴースト ブログをブルート フォースログイン攻撃から保護したいと考えています。

1. Ghostで失敗したユーザーのログイン試行をログに記録する方法はありますか?

どこでもログを探しましたが、何も見つかりませんでした。（Nginx / Linuxサーバーで実行されています。）。これらの失敗したログイン試行はどこにも記録されていますか?

2. 複数の試行が失敗した後にユーザーを禁止することは可能ですか?

誰かがあなたの管理者ログインを総当たり攻撃しようとする可能性がある場合、 fail2banやその他のログイン保護を使用してもあまり効果がありません。

Yahoo、Google、Yandex、Bing Ahrefs などのすべてのサイトが同時にインデックスに登録され、Web サイトが停止してしまうという問題が、多くのサイトで発生しています。

ソース IP をブロックするように fail2ban を構成しましたが、これらは永久に変化するため、理想的ではありません。robots.txt も使用してみましたが、ほとんど違いはありません。

サイトをcloudflareの背後に置いてみましたが、これもほとんど違いがなく、できることはソースIPをブロックすることだけです.

他に何ができますか？

現在、サイトが応答しなくなったときに nginx を再起動する Nagios でサイトを監視していますが、これは理想とはほど遠いようです。

nginx を実行している Ubuntu サーバー

robots.txt ファイルは次の場所にあります:-

開発者に試してもらうことができる何かがある場合に備えて、ここに投稿します。

ありがとう

私は Rails アプリを持っていますが、アセットに関連するリクエストは無視されます。次の正規表現をignoreregex設定に入れると、どの行にも一致しませんが、に入れるとfailregex、行を正しく識別します。 ignoreregex = (?i)^<HOST> - .* "GET .*/(assets|site_images|site_scripts)/.*

「無視」とカウントしたいログ行の例: XX.XX.XX.XX - - [30/Aug/2017:02:01:40 +0000] "GET /assets/logo-1a29bc0c23e29be7ca1f27d9fd90d735adb61e94562db7478d9f6c445205da5c.jpg HTTP/1.1" 200 32279 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/534.34 (KHTML, like Gecko) wkhtmltopdf_linux_amd64 Safari/534.34" "-"

Fail2Ban バージョン: v0.9.3

Ubuntu 16.04.2 LTS

サーバーに Fail2ban を設定していますが、最近、多くの悪いボットがサイトをクロールしており、SQL サーバーがダウンしています。

私のApache2ログから

"ahrefs.com" の failregex を作成する方法は?

どうもありがとう

Docker を使用してコンテナーで SSH デーモンを実行しています。後者は によって管理されsystemd、sshd が にログを記録するためstdout、攻撃者を検出するための関連データはsystemdのジャーナルに表示されますが、そのエントリには次のような追加のプレフィックスがあります。

Feb 13 21:51:25 my.example.com dockerd[427]: Feb 13 18:51:25 sshd[555]: Invalid user ts3bot from 180.166.17.122 port 43474

監獄は次のスニペットで構成されます。

この行にfilters.d/sshd.confは、変更したいものが含まれているようです:

journalmatchしかし、の構成に関する役立つドキュメントが見つかりません。fail2ban0.10を使用しています。

等号の右側の部分がどのように解釈されるかを誰か説明できますか?

その値を調整する方法を見つけたいと思ったら、filters.d/sshd.conf直接編集する必要がありますか (Arch パッケージから提供されます)、または他の場所で編集する必要がありますか?