[solved] fail2ban regex gesucht

[sunghost]

Hi,
ich habe diverse Einträge in einem error.log und da ich bereits fail2ban nutze, müchte ich dieses prüfen.
Log Beispiel:

[Mon Oct 24 16:09:01.550739 2022] [proxy_fcgi:error] [pid 873152:tid 140177775216384] [client xxx.xxx.xxx.xxx.:43282] AH01071: Got error 'PHP message: Datenbank-Fehler UPDATE command denied to user ' ....

Seit mehreren Stunde probiere und lese ich, aber es klappt nicht. Bisher habe ich:

client <HOST> .*(Datenbank-Fehler UPDATE command denied to user)

Ich erhalte 2 Treffer aber es sind deutlich mehrere hundert. Bei der Variable <HOST> bin ich mir auch unsicher. Letztendlich sollte fail2ban den Host per route blocken.
Könnt ihr helfen?
thx

[heisenberg]

Grundsätzlich kannst Du mit fail2ban-regex Dein Muster testen.

Zeig mal Dein Muster, dass aktuell noch nicht funktioniert. Das steht da ja schon...

Dein Muster ist...

Code: Alles auswählen

client <HOST> .*(Datenbank-Fehler UPDATE command denied to user) 

Dein Log-Auszug ist...

Code: Alles auswählen

[Mon Oct 24 16:09:01.550739 2022] [proxy_fcgi:error] [pid 873152:tid 140177775216384] 
    [client xxx.xxx.xxx.xxx.:43282] AH01071: Got error 'PHP message: Datenbank-Fehler UPDATE command denied to user ' .... 

Dein Muster gibt an, dass da ein Leerzeichen nach dem Host sein soll. Dein Logauszug gibt aber an, dass da ein Punkt nach der IP-Adresse ist - was vermutlich ein Tippfehler des Forenbetrages ist. Wenn es kein Punkt ist, dann ist es ein Doppelpunkt.

Runde Klammern sind auch keine drin. Das könnte aber als neutrale Metazeichen durchgehen.

Richtiges Muster, wenn meine Annahme korrekt ist, ist also:

Code: Alles auswählen

client <HOST>:[0-9].*PHP message: Datenbank-Fehler UPDATE command denied to user

Ansonsten ist Dein Regex recht grob. D. h. du könntest da evtl. leicht false-positives generieren. Ein mehr spezifischerer Regex würde das vermeiden.

[hikaru]

Vorweg:
Ich habe keine Ahnung von fail2ban und davon, ob dessen Regex-Parser irgendwelche Besonderheiten hat, aber:

Code: Alles auswählen

client <HOST>:[0-9].*PHP message: Datenbank-Fehler UPDATE command denied to user

"<HOST>" ist hier offensichtlich eine Variable, dann kommt der Doppelpunkt um den Port abzutrennen und dann versuchst du den Port mit "[0-9]" zu matchen. Das wird in der Praxis funktionieren, weil du danach auf beliebig viele beliebige Zeichen matchst (".*"), aber explizit matchst du nur die erste Stelle der Portnummer, denn deine Zeichenklasse hat keinen Quantifier.
Daher als Vorschlag ("[0-9]+"):

Code: Alles auswählen

client <HOST>:[0-9]+.*PHP message: Datenbank-Fehler UPDATE command denied to user

Ansonsten ist Dein Regex recht grob. D. h. du könntest da evtl. leicht false-positives generieren. Ein mehr spezifischerer Regex würde das vermeiden.

Zustimmung! Regex sollten meiner Erfahrung nach immer so scharf wie möglich sein.

[heisenberg]

Daher als Vorschlag ("[0-9]+"):

Das hatte ich mal lieber weggelassen, weil ich nicht weiss, ob ich + da escapen muss oder nicht. Bin in Python-RE da jetzt nicht so sicher.

[sunghost]

Hi,
und erst mal danke an euch für die schnelle Unterstützung.
Mit fail2ban-regex habe ich es auch getestet. Bei mir klappte es halt nicht, aber das sieht sehr gut aus:

# fail2ban-regex error.log 'client <HOST>:.*PHP message: Datenbank-Fehler UPDATE command denied to user'

Soweit scheint es zu laufen. Ich abe mir nun das fail2ban Log angesehen und erhalte:

fail2ban.filter [1695437]: INFO [my-filter Found 2003:d1:670e:b500:e825:de5f:fa79:2bfb - 2022-10-24 21:26:09
2022-10-24 21:26:10,266 fail2ban.filter [1695437]: INFO [my-filter] Found 2003:d1:670e:b500:e825:de5f:fa79:2bfb - 2022-10-24 21:26:10
2022-10-24 21:26:10,613 fail2ban.actions [1695437]: NOTICE [my-filter] Ban 2003:d1:670e:b500:e825:de5f:fa79:2bfb

Sehe ich es richtig und er erkennt oben die IPv6 inkl. Datetime-Angabe,, dann die selbe Info nochmal und als Notice erhalte ich die eigentliche IPv6 die dann gebannt wird. Korrekt?
Als Status erhalte ich aktuell:

Status for the jail: my-filter
|- Filter
| |- Currently failed: 616
| |- Total failed: 1887

Passt das ?
thx

[heisenberg]

Found heisst, dass der Filter einen Treffer erzielt hat.

Ban heisst, dass die Anzahl der konfigurierten Treffer für einen Ban - in der gesetzten Zeit - erreicht ist und deswegen der Ban ausgeführt wird.

[sunghost]

Hi,
ok super. Habe es nun seit gestern laufen und es funktioniert.

Euch nochmal vielen Dank.