问题标签 [fail2ban]

因此，在我最后一次apt-get update && apt-get upgrade && apt-get dist-upgrade之后，我的 Fail2Ban 升级到 0.9.5 没有任何问题，我仔细检查了配置，但它似乎不再工作了。

以下是我 /var/log/auth.log 中登录失败的一些日志

通常这种尝试应该被fail2ban 识别。我仔细检查了 fail2ban 日志，发现在那个时间范围内没有任何记录。在网上搜索后，我发现了fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf命令。我的问题是正则表达式不再识别失败的尝试。我总是得到这个结果：

这里有什么问题？我意识到我的日志记录也发生了变化。在我更新系统之前，日志没有关于端口的任何信息，在更新它之后，它会记录端口。给出的例子：

谢谢你的帮助。

我需要根据 nginx 网络服务器 access.log 的自定义日志文件格式使用 fail2ban 阻止某些请求。

应该匹配的违规行位于access.log中，如下所示：

我使用 RegEx 的fail2ban配置 wordpress-xmlrpc.conf：

监狱正在运行，但从未找到违规行：

监狱状态：wordpress-xmlrpc（简化）：
-文件列表：/var/log/nginx/access.log-
当前失败：0-
失败总数：0-

当前禁止：0-禁止
总数：0

任何帮助表示赞赏！

我有一个apache access log filter其中fail2ban使用单词的黑名单，例如(db|project|wp-admin|wp-content)，它有效，但由于某些路径和某些陷阱决定添加一个ignoreregex带有负前瞻的选项，以根据路径排除其中的一些，但这并不有效，因为它ignoreregex仍然有效。

示例访问日志

filter.d文件中的忽略正则表达式条目

在https://regex101.com之类的东西上使用它只正确匹配上面日志中的最后一个条目，但在我的filter.d文件中使用它会忽略所有 4 个条目。没有ignoreregex所有 4 arematched与ignoreregexall 4 are ignored。

上面的正则表达式应该匹配条目images/imagecache并允许出现在这种情况下的单词白名单，(db|project)但如果存在任何黑名单单词则不允许(?!(wp|wp-admin|wp-content|xampp|xplorer))。

只是想知道是否可以在前面有 CloudFlare 的服务器上使用 Fail2ban？

问题是传入的网络流量似乎具有 CloudFlare 服务器的 IP，而不是原始 IP。

例如，我禁止人们探索未使用的系统的漏洞。

以上似乎是利用ColdFusion的尝试......不管那是什么。所以我禁止他们，但现在传入的 IP 被列为 CloudFlare，所以这是行不通的。

IP 查询：173.245.55.134

因此，是否仍然可以在它前面使用带有 CloudFlare 的 fail2ban？解决办法是什么？

我已经在我的虚拟主机中安装了 fail2ban，它通过 access_log 文件监控 wordpress 登录尝试。一旦我将fail2ban配置为使用此正则表达式过滤wp登录：

... 攻击是通过 ipv6 主机更改的。我阅读了fail2ban doc，我注意到fail2ban（还）不支持ipv6。然后，我应用了这个解决方法： fail2ban ipv6 support（法语）

正如您在本教程中所见，我创建了 2 个名为 iptables46* 的新操作，并在 jail.local 中定义了它们，以便在 fail2ban 检测到 ipv4 和 ipv6 的新正则表达式（在修补的 python 脚本中更改）时执行。

我检查了fail2ban日志，它似乎正在检测ipv6调用，但在每个过滤器检测之前都会显示一条警告：

（xxxx:xxxx:xxx::xxxx:xxx是攻击者主机ipv6）

我用 : 检查了 fail2ban 状态，fail2ban-regex access_log /etc/fail2ban/filter.d/wp-auth.conf有很多结果（正则表达式和过滤器都可以），但是主机没有被 iptables 阻止。我检查了 ip6tables：

结果：

如果我检查fail2ban过滤器的状态：fail2ban-client status wp-auth：

似乎 ipv6 没有被阻止，因为主机仍在发起请求。

我不知道为什么fail2ban 日志显示警告（与127.0.0.1/8 相关：[Errno -2]），如果创建的ip6table 规则正常...我不知道为什么主机没有被封锁。

任何帮助将不胜感激。

下午好。

制作了一个过滤器来捕获 IPv4（工作）

手册指出 HOST 是表达式的别名

问题：如何改变上面的表达式，让它“吃”子网的地址，例如，1.1.1.1/24？

谢谢！

我正在使用 glpi，我想用 fail2ban 监控失败的登录尝试。日志文件如下：

如果登录尝试失败并且我想用fail2ban 禁止IP，我需要此日志文件的正则表达式规则。

有人可以帮助我吗？

谢谢！

我有 plesk 12.0.18 更新 #96 操作系统：Ubuntu 14.04.3 LTS 我已经通过 plesk 安装了 fail2ban，由于某种原因，它没有阻止在 postfix 服务器上的失败尝试。

我不得不通过 iptables 阻止这个 ip myslef -我在检查 fail2ban 的日志时，那里没有任何内容甚至显示试图阻止 ip。

我的服务器上有很多 GET 请求来“ nike-air”这样的 URL

我决定创建一个 fail2ban 过滤器来阻止它：

它有效，但我认为它可以改进？太糟糕了，没有在线工具来创建过滤器:)

谢谢你的建议。

祝大家新年快乐！

因此，在使用 Fail2Ban 读取我的 FreeSwitch 日志文件时，我在匹配攻击者的主机 IP 时遇到了一些问题。如果这是错误的论坛，请原谅我，但我想不出其他任何地方可以发布这个。

这是日志行：

这是我的第一次尝试：

这是我的第二次尝试（简化第一次）：

我的问题是，我很难从这个字符串中的 Port# 中删除 IP 地址： 217.79.182.240:5080以便将其传递给<HOST>变量。我对 REGEX 组合的理解遇到了障碍，可以在这个论坛上使用其他人的综合专业知识，谢谢。