问题标签 [fail2ban]

我生气了！我想制定规则以匹配“拒绝正文”字符串后缀中的“5.7.1”，然后禁止该 IP。这是来自邮件日志的字符串。

9 月 10 日 08:04:57 服务器后缀/清理[11430]: 7793A80D7F97: 拒绝: 身体 Se 非理想的 ricevere queste raccomandazioni: Rimuovere me - 来自 cha129.probionicapps.com[188.208.198.129]; from= to= proto=ESMTP helo=: 5.7.1 垃圾邮件成功拒绝 - 我们拒绝垃圾邮件代理 - 004

我需要一个正则表达式规则来获取 IP 并禁止它。谢谢

我正在尝试通过将 fail2ban 与我的 nginx 日志一起使用来阻止正在扫描我的站点以查找管理页面的脚本。但是我在我的fail2ban-log中收到了这样的错误（具有不同的请求/用户代理/远程地址）：

我的 fail2ban-regex 看起来像这样：

我的 nginx-logformat 看起来像这样：

当我使用该日志行运行 fail2ban-regex 时，我得到：

IP 替换为. ..* . www.example.com 的主机地址。在 fail2ban-regex 中，我使用了真实的 ip 和主机。

fail2ban 过滤器有点问题，出于某种原因，即使我将禁令长度设置为一年，它也会在 10 分钟后解除禁令。能不能帮帮兄弟？

过滤器的 jail.local 声明：

nginx-proxy.conf

nginx-shellshock.conf

这是我的 fail2ban.log 文件

在 fail2ban 服务重新启动时，我还收到关于 shellshock bantime 设置为 none 的错误：

非常感谢任何帮助，谢谢。

如果该 IP 尝试访问特定文件，是否可以禁止用户 (IP)？

我有一个网站被黑客入侵并发送了垃圾邮件。受损文件现已被清理/删除。

我仍然从 IP 尝试访问其中一些文件时得到很多 404，例如 /libraries/legacy/form/field/help.php - 通常不是 CMS (joomla) 一部分的文件，所以我知道一个事实，即如果一个 IP 试图访问这个文件，他们有恶意:-)

是否可以为所有尝试访问此文件的 IP 创建禁止规则？

谢谢

运行 fail2ban-regex 时

我得到以下输出

这是 security1.log 文件的一些输出

失败正则表达式如下

我认为我的security1.log 的输出和named-refused.conf 文件的failregex 语法之间存在差异，这使得它找不到任何东西。

提前致谢，

盖伊

• 我想根据代理机器上Proftpd的状态更改Fail2ban的jail.conf中的变量“启用”。
• 例如：如果在代理机器上，Proftpd 正在运行，“enable = true”（Fail2ban 将监控 Proftpd）如果 Proftpd 停止，“enable = false”（Fail2ban 不会监控 Proftpd）

• 我的 init.pp 文件：

  类fail2ban {包{“fail2ban”：确保=>“已安装”，}

  /li>

我的模板jail.conf.erb文件：

问题是我的“启用”结果是根据对 Puppet Master 的检查，而不是对代理机器的检查，而我需要在代理机器上进行检查。

谁能帮我 ？

我正在尝试创建一个自定义规则来禁止用户尝试登录太多次。触发器是apache日志文件中的单词“ CheckLogin”。

日志提取：

当前过滤器: /etc/fail2ban/filter.d/test.conf:

当前jail.local：

必须是过滤器失败正则表达式中的一个棘手细节，但我尝试了各种选项，但都没有奏效。我可以重启fail2ban而不会出错，但用于测试的外部IP永远不会被禁止（触发器deos不起作用）。

在一个fail2ban实现中，我有一个jail存在来减少getfloods。即，在一个时间范围内有太多的 GET 响应被禁止。

fail2ban通过我喂过的基本正则表达式检测到那些。IE：

该正则表达式在我的 nginxaccess.log文件中解析如下行，并采取必要的措施。

现在我想在这里添加一个微妙之处。而不是所有 GET 行，我只想解析与以/vote/. 请参见以下示例：

我的问题很简单。如何调整我的正则表达式？会不会是：

是的？

当检测到不同类型的忘恩负义的访问者时，我正在尝试立即将 ip 添加到 fail2ban 禁令列表，我正在尝试从运行带有“shell”或“shell_exec”的下一个命令的 php 脚本执行此操作：

exec('fail2ban-client -vvv set ssh-iptables banip 123.123.123.123');

（我想使用 fail2ban 的本机检测，并在我自己的网站的管理区域中手动添加或删除禁令。）

但是，这种方法行不通……

任何想法？谢谢！

背景：我正在运行具有 30 多个域的 Plesk CentOS 6.7 服务器。我从特定的 TLD（在本例中为 .top）收到大量垃圾邮件。我正在运行 SpamAssassin 并使用 RBL 列表 (xbl.spamhaus.org)。SpamAssassin 将这些邮件中的大部分标记为垃圾邮件，但通过的足够多，我的服务器受到 Google 邮件服务器的速率限制（由于我的一些用户的电子邮件帐户被转发到 Gmail）。我从这个域收到零合法电子邮件，最近内存使用量增加了几个百分点，所以我试图通过在这些邮件到达 Postfix 之前阻止这些邮件来节省一些开销并提高我的服务器声誉。

我想为 fail2ban 编写一个过滤器，以匹配来自此 TLD 的连接，并禁止相应的 IP 地址。

以下是示例日志条目：

那么任何人都可以帮助我可以插入到 fail2ban 的正则表达式，它可以匹配所有包含“.top”顶级域名的“连接来源”吗？

我一直在尝试根据我的工作 postfix-sasl 过滤器（如下）来解决这个问题，但我的正则表达式 chi 不够强大......这是我的 postfix-sasl 工作过滤器，它匹配失败的登录尝试：

同样，我只想匹配以“somespammyserver.top”开头的 IP 地址。非常感谢任何帮助。