PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : fail2ban Fehler



bisan23
05.02.2009, 11:42
Hallo, ich hatte hier: http://www.unixboard.de/vb3/showthread.php?t=41494 nachgefragt was ich gegen die andauernden Zugriffe zun kann. Es wurde mir fail2ban ans Herz gelegt was ich jetzt auch installiert habe.

Konfiguration von jail.conf:



[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1 localhost
bantime = 1200
maxretry = 5

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
# This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = root@localhost

# Default action to take: ban only
action = iptables[name=%(__name__)s, port=%(port)s]

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 20

[apache]

enabled = true
port = http
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 5

[apache-noscript]

enabled = false
port = http
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 5


Habe dann fail2ban neugestartet so das er die neue Konfiguratoin einliest. Leider sehe ich bei iptables -L nicht das er irgendwelche IPs bannen würde.

Was mache ich falsch?

bitmuncher
05.02.2009, 11:47
Werden denn von deinem Apache die fehlgeschlagenen Anfragen (404) in der error.log abgelegt oder in der access.log?

bisan23
05.02.2009, 11:49
error.log

bitmuncher
05.02.2009, 11:51
Ok, ich sehe auch gerade, dass du garkeinen passenden Filter eingestellt hast. Schau mal unter http://edin.no-ip.com/content/filter-spam-or-bad-robot-visit-your-apache-with-fail2ban rein. Da ist ein Beispiel um Bots auszusperren.

bisan23
05.02.2009, 12:00
Ok, ich sehe auch gerade, dass du garkeinen passenden Filter eingestellt hast. Schau mal unter http://edin.no-ip.com/content/filter-spam-or-bad-robot-visit-your-apache-with-fail2ban rein. Da ist ein Beispiel um Bots auszusperren.

Habe grade gestet, funktioniert leider nicht.. ich habe auch gar kein /etc/fail2ban/filter.d/apache-badbots.conf bei mir :think:

Nur apache-auth.conf und apache-noscropt.conf :think:

bitmuncher
05.02.2009, 12:44
Die apache-badbots.conf



# Fail2Ban configuration file
#
# List of bad bots fetched from http://www.user-agents.org
# Generated on Sun Feb 11 01:09:15 EST 2007 by ./badbots.sh
#
# Author: Yaroslav Halchenko
#
# $Revision: 668 $
#

[Definition]

badbotscustom = EmailCollector|WebEMailExtrac|TrackBack/1\.02|sogou music spider
badbots = atSpider/1\.0|autoemailspider|China Local Browse 2\.6|ContentSmartz|DataCha0s/2\.0|DataCha0s/2\.0|DBrowse 1\.4b|DBrowse 1\.4d|Demo Bot DOT 16b|Demo Bot Z 16b|DSurf15a 01|DSurf15a 71|DSurf15a 81|DSurf15a VA|EBrowse 1\.4b|Educate Search VxB|EmailSiphon|EmailWolf 1\.00|ESurf15a 15|ExtractorPro|Franklin Locator 1\.8|FSurf15a 01|Full Web Bot 0416B|Full Web Bot 0516B|Full Web Bot 2816B|Industry Program 1\.0\.x|ISC SystemsiRc Search 2\.1|IUPUI Research Bot v 1\.9a|LARBIN-EXPERIMENTAL \(efp@gmx\.net\)|LetsCrawl\.com/1\.0 +http\://letscrawl\.com/|Lincoln State Web Browser|LWP\:\:Simple/5\.803|Mac Finder 1\.0\.xx|MFC Foundation Class Library 4\.0|Microsoft URL Control - 6\.00\.8xxx|Missauga Locate 1\.0\.0|Missigua Locator 1\.9|Missouri College Browse|Mizzu Labs 2\.2|Mo College 1\.9|Mozilla/2\.0 \(compatible; NEWT ActiveX; Win32\)|Mozilla/3\.0 \(compatible; Indy Library\)|Mozilla/4\.0 \(compatible; Advanced Email Extractor v2\.xx\)|Mozilla/4\.0 \(compatible; Iplexx Spider/1\.0 http\://www\.iplexx\.at\)|Mozilla/4\.0 \(compatible; MSIE 5\.0; Windows NT; DigExt; DTS Agent|Mozilla/4\.0 efp@gmx\.net|Mozilla/5\.0 \(Version\: xxxx Type\:xx\)|MVAClient|NASA Search 1\.0|Nsauditor/1\.x|PBrowse 1\.4b|PEval 1\.4b|Poirot|Port Huron Labs|Production Bot 0116B|Production Bot 2016B|Production Bot DOT 3016B|Program Shareware 1\.0\.2|PSurf15a 11|PSurf15a 51|PSurf15a VA|psycheclone|RSurf15a 41|RSurf15a 51|RSurf15a 81|searchbot admin@google\.com|sogou spider|sohu agent|SSurf15a 11 |TSurf15a 11|Under the Rainbow 2\.2|User-Agent\: Mozilla/4\.0 \(compatible; MSIE 6\.0; Windows NT 5\.1\)|WebVulnCrawl\.blogspot\.com/1\.0 libwww-perl/5\.803|Wells Search II|WEP Search 00

# Option: failregex
# Notes.: Regexp to catch known spambots and software alike. Please verify
# that it is your intent to block IPs which were driven by
# abovementioned bots.
# Values: TEXT
#
failregex = ^<HOST> -.*"(GET|POST).*HTTP.*"(?:%(badbots)s|%(badbotscustom)s)"$

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =


Wichtig ist, dass du die User-Agents vom Apache mitloggen lässt und ggf. musst du die failregex anpassen, damit sie auf dein Log-Format matcht.