GELÖST fail2ban - failregex - no match - ispconfig

dfarin · Beitrag von **dfarin** » 05.01.2015 12:03:38

Hiho Leute, ich habs nun über Tage mit Google und irc versucht aber irgendwie komme ich nicht weiter.

Mein Problem ist das ich in teils massiv gespamt werde und gerne mittels fail2ban den Serverload weider in den Griff bekomme indem ich die Spammer einfach mal ausschließe. Hierzu habe ich in der jail.conf einen entsprechenden Punkt angelegt und in der filter.d einen passenden Eintrag.
Ich schaffe es jedoch nicht den failregex so zu schreiben das auch wirklich ein match stattfindet.

Ich versuch mal alles an Infos hier zu posten die von belangen sein könnten.

System: Debian 3.2.60-1+deb7u3 x86_64 / Apache / ISP Config

Eintrag zum Sperren aus der Logdatei:

Code: Alles auswählen

[05/Jan/2015:00:44:34 +0100] billigdslanbieter.de:80 185.12.45.110 - - "POST /xmlrpc.php HTTP/1.0" 401 885 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"  'xmlrpc'

Aufbau der Logdatei (apache2.conf):

Code: Alles auswählen

LogFormat "%t %v:%p %h %l %u \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" fail2ban

Eintrag in der jail.conf:

Code: Alles auswählen

[apache-post]
enabled = true
port = http,https
filter = apache-post
action = iptables[name=httpd, port=80, protocol=tcp]
#sendmail-whois[name=post_block, dest=yourmail@example.com]
logpath = /var/log/apache*/other_vhosts_access.log
findtime = 10
bantime = 300
maxretry = 10

apache-post.conf in der filter.d:

Code: Alles auswählen

# Fail2Ban configuration file
#
#
# $Revision: 1 $
#
[Definition]
# Option: failregex
# Notes.: Regexp to catch known spambots and software alike. Please verify
# that it is your intent to block IPs which were driven by
# abovementioned bots.
# Values: TEXT
#
#failregex = ^<HOST> -.*"POST.*
#failregex = ^<HOST> - - .* "POST xmlrpc.php\=.*
failregex = <HOST> - - .* "POST xmlrpc.php\=.*
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Wobei ich hier bei failregex bereits etliche Sachen probiert habe und mit fail2ban-regex getestet habe.
Mit meinen eingeschränkten Kenntnissen bekomme ich das einfach nicht auf die Kette, wenn mir einer von euch mal auf die Sprünge helfen kann (gerne auch irc/skype) wäre ich dafür echt dankbar.

rendegast · Beitrag von **rendegast** » 05.01.2015 13:51:52

billigdslanbieter.de:80 185.12.45.110 - - "POST /xmlrpc.php HTTP/1.0" 401 885 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 'xmlrpc'

Code: Alles auswählen

failregex = <HOST> - - .* "POST xmlrpc.php\=.*

Wenn das erste ".*" leer bleibt, blieben 2 Leerzeichen zwischen - und "POST.
Weiterhin fehlt der /, und was soll das escaped =?

Eher

Code: Alles auswählen

failregex = :<HOST> - - "POST /xmlrpc.php .*xmlrpc

?
EDIT

Code: Alles auswählen

failregex = <HOST> - - "POST /xmlrpc.php .*xmlrpc

dfarin · Beitrag von **dfarin** » 05.01.2015 15:24:49

Hey rendagast, danke für die antwort.
Leider schmeißt mir fail2ban-regex aber trotzdem kein match aus

Kann also ncoh nicht ganz die Lösung sein.

rendegast · Beitrag von **rendegast** » 05.01.2015 16:55:15

Das : muß weg.
Flüchtigkeitsfehler: Dachte, das :80 würde zur IP gehören, stattdessen repräsentiert es ja "host:port".
Zudem dürften in der Form die : im Datumsstring Probleme machen.

dfarin · Beitrag von **dfarin** » 05.01.2015 18:23:55

Nach viel Hilfe aus dem IRC möchte ich meine aktuelle Lösung hier gern noch posten.
Folgende Line funktioniert zu der oben geposteten Log:

Code: Alles auswählen

failregex = ^[^\:]+\:80 <HOST> .* "POST \/xmlrpc\.php HTTP\/...\".*

debianforum.de

GELÖST fail2ban - failregex - no match - ispconfig

GELÖST fail2ban - failregex - no match - ispconfig

Re: fail2ban - failregex - no match - ispconfig

Re: fail2ban - failregex - no match - ispconfig

Re: fail2ban - failregex - no match - ispconfig

gelöst: Re: fail2ban - failregex - no match - ispconfig