Ma regex fournie avec fail2ban ne fonctionnait pas avec proftpd. J'ai
donc fait un tour sur Google (pendant 2 heures) mais malheureusement,
=E7a ne fonctionne toujours pas.
Voici les regex pour proftpd:
failregex =3D \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from
\S+ \[[0-9.]+\] to \S+:\S+$
\(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\):
Incorrect password\.$
\(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted=
\.$
\(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded=
$
Lors du restart du service, je vois ceci dans les logs :
Restarting authentication failure monitor: fail2ban.
2009-02-04 15:13:55,356 fail2ban.filter : ERROR Unable to compile
regular expression \(\S+\[(?:::f{4,6}:)?(?P<host>\S+)\]\)[: -]+ USER
\S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+$
L'un d'entre vous a-t-il la bonne regex svp ?
J'ai =E9galement cecci dans les logs:
iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh
returned 200
iptables -I INPUT -p "tcp -m multiport --dports "ftp -j
fail2ban-proftpd returned 200
iptables -I INPUT -p "tcp -m multiport --dports "ssh -j
fail2ban-ssh-ddos returned 200
i
Une id=E9e ?
Merci d'avance.
R.O.
Fail2Ban v0.7.5
iptables v1.3.6
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Revolver Onslaught
Hello,
Finalement, je viens de trouver la solution: installer le backport de fail2 ban. http://www.backports.org/dokuwiki/doku.php?id=instructions
Le fichier de fail2ban pour proftpd du package corrige ces problèmes.
En espérant que ça puisse en aider d'autres...
R.O.
On Wed, Feb 4, 2009 at 3:13 PM, Revolver Onslaught wrote:
Bonjour à tous,
Ma regex fournie avec fail2ban ne fonctionnait pas avec proftpd. J'ai donc fait un tour sur Google (pendant 2 heures) mais malheureusement, ça ne fonctionne toujours pas.
Voici les regex pour proftpd: failregex = (S+[<HOST>])[: -]+ USER S+: no such user found from S+ [[0-9.]+] to S+:S+$ (S+[<HOST>])[: -]+ USER S+ (Login failed): Incorrect password.$ (S+[<HOST>])[: -]+ SECURITY VIOLATION: S+ login attempte d.$ (S+[<HOST>])[: -]+ Maximum login attempts (d+) exceede d$
Lors du restart du service, je vois ceci dans les logs : Restarting authentication failure monitor: fail2ban.
2009-02-04 15:13:55,356 fail2ban.filter : ERROR Unable to compile regular expression (S+[(?:::f{4,6}:)?(?P<host>S+)])[: -]+ USER S+: no such user found from S+ [[0-9.]+] to S+:S+$
L'un d'entre vous a-t-il la bonne regex svp ?
J'ai également cecci dans les logs: iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh returned 200 iptables -I INPUT -p "tcp -m multiport --dports "ftp -j fail2ban-proftpd returned 200 iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh-ddos returned 200 i Une idée ?
Merci d'avance.
R.O.
Fail2Ban v0.7.5 iptables v1.3.6
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Hello,
Finalement, je viens de trouver la solution: installer le backport de fail2 ban.
http://www.backports.org/dokuwiki/doku.php?id=instructions
Le fichier de fail2ban pour proftpd du package corrige ces problèmes.
En espérant que ça puisse en aider d'autres...
R.O.
On Wed, Feb 4, 2009 at 3:13 PM, Revolver Onslaught
<revolver.onslaught@gmail.com> wrote:
Bonjour à tous,
Ma regex fournie avec fail2ban ne fonctionnait pas avec proftpd. J'ai
donc fait un tour sur Google (pendant 2 heures) mais malheureusement,
ça ne fonctionne toujours pas.
Voici les regex pour proftpd:
failregex = (S+[<HOST>])[: -]+ USER S+: no such user found from
S+ [[0-9.]+] to S+:S+$
(S+[<HOST>])[: -]+ USER S+ (Login failed):
Incorrect password.$
(S+[<HOST>])[: -]+ SECURITY VIOLATION: S+ login attempte d.$
(S+[<HOST>])[: -]+ Maximum login attempts (d+) exceede d$
Lors du restart du service, je vois ceci dans les logs :
Restarting authentication failure monitor: fail2ban.
2009-02-04 15:13:55,356 fail2ban.filter : ERROR Unable to compile
regular expression (S+[(?:::f{4,6}:)?(?P<host>S+)])[: -]+ USER
S+: no such user found from S+ [[0-9.]+] to S+:S+$
L'un d'entre vous a-t-il la bonne regex svp ?
J'ai également cecci dans les logs:
iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh
returned 200
iptables -I INPUT -p "tcp -m multiport --dports "ftp -j
fail2ban-proftpd returned 200
iptables -I INPUT -p "tcp -m multiport --dports "ssh -j
fail2ban-ssh-ddos returned 200
i
Une idée ?
Merci d'avance.
R.O.
Fail2Ban v0.7.5
iptables v1.3.6
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Finalement, je viens de trouver la solution: installer le backport de fail2 ban. http://www.backports.org/dokuwiki/doku.php?id=instructions
Le fichier de fail2ban pour proftpd du package corrige ces problèmes.
En espérant que ça puisse en aider d'autres...
R.O.
On Wed, Feb 4, 2009 at 3:13 PM, Revolver Onslaught wrote:
Bonjour à tous,
Ma regex fournie avec fail2ban ne fonctionnait pas avec proftpd. J'ai donc fait un tour sur Google (pendant 2 heures) mais malheureusement, ça ne fonctionne toujours pas.
Voici les regex pour proftpd: failregex = (S+[<HOST>])[: -]+ USER S+: no such user found from S+ [[0-9.]+] to S+:S+$ (S+[<HOST>])[: -]+ USER S+ (Login failed): Incorrect password.$ (S+[<HOST>])[: -]+ SECURITY VIOLATION: S+ login attempte d.$ (S+[<HOST>])[: -]+ Maximum login attempts (d+) exceede d$
Lors du restart du service, je vois ceci dans les logs : Restarting authentication failure monitor: fail2ban.
2009-02-04 15:13:55,356 fail2ban.filter : ERROR Unable to compile regular expression (S+[(?:::f{4,6}:)?(?P<host>S+)])[: -]+ USER S+: no such user found from S+ [[0-9.]+] to S+:S+$
L'un d'entre vous a-t-il la bonne regex svp ?
J'ai également cecci dans les logs: iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh returned 200 iptables -I INPUT -p "tcp -m multiport --dports "ftp -j fail2ban-proftpd returned 200 iptables -I INPUT -p "tcp -m multiport --dports "ssh -j fail2ban-ssh-ddos returned 200 i Une idée ?
Merci d'avance.
R.O.
Fail2Ban v0.7.5 iptables v1.3.6
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact