fail2ban

[Visionmaster2009]

Guten Morgen Forum,
ich habe ein debian 5 (lenney) webserver mit plesk9,2!

ich brauche mal hilfe zu fail2ban!
ich habe sehr viele logeinträge im apache error log:
[client 77.245.149.209] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)

nachdem ich in google gesucht habe bin ich auf folgenden filter gestoßen:

mein auzug aus der jail.conf.
[apache-w00tw00t]
enabled = true
filter = apache-w00tw00t
action = iptables-allports[name=w00tw00t]
mail-whois[name=w00tw00t, dest=XXXX@xxxxxx.de]
logpath = /var/log/apache*/*error.log
maxretry = 1
bantime = 86400

in fail2ban/filter.d/apache-w00tw00t.conf:

[Definition]

# Option: failregex
# Notes.: regex to match the w00tw00t scan messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEXT
failregex = ^<HOST> -.*"GET \/w00tw00t\.at\.ISC\.SANS\.DFind\:\).*".*
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
ignoreregex =

der filter wird auch geladen, aber die scans mit /w00tw00t.at.ISC.SANS.DFind:) gehen weiter, und nix wird geblockt !
auch wenn ich per telnet auf port 80 ein GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1 absetze geht es durch.
was mache ich nur falsch ?

dabnke schon mal für eure antworten

Gruß
Michael

[sunta]

Hallo Michael,

hast Du es inzwischen mal geschafft den w00tw00t mist per fail2ban zu blocken?


Gruß
sunta