Fail2ban: abaikanregex tidak berfungsi

Dibuat pada 21 Des 2012  ·  3Komentar  ·  Sumber: fail2ban/fail2ban

Opsi abaikanregex dalam file konfigurasi tidak berfungsi (v0.8.4).
Saat menguji dengan fail2ban-regex bahkan tidak ada kesalahan "Tidak dapat mengompilasi ekspresi reguler".

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf

Tidak ada kecocokan sama sekali:

|- Regular expressions:
|
`- Number of matches:

Contoh:
suhosin.conf

[Definition]
failregex = suhosin\[\d*\].*\(attacker\s'<HOST>'.*
ignoreregex = suhosin\[\d*\].*(memory_limit).*\(attacker\s'<HOST>'.*

catatan eror

Dec 17 15:51:13 server suhosin[27622]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable      'action' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'board' (attacker '67.210.100.166', file '/bla.php')
Dec 17 15:51:13 server suhosin[27624]: ALERT - ASCII-NUL chars not allowed within request variables - dropped variable 'topic' (attacker '67.210.100.166', file '/bla.php')
Dec 20 18:58:21 server suhosin[4088]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)
Dec 20 18:58:32 server suhosin[4051]: ALERT - script tried to increase memory_limit to 120000000 bytes which is above the allowed value (attacker '123.123.123.123', file '/bla.php', line 10)

Saya mencoba mencocokkan semua serangan suhosin dan mengurangi semua serangan mencoba meningkatkan memory_limit.

picture jakoch

Komentar yang paling membantu

:+1:
Ah, Anda benar. Terima kasih telah mengarahkan saya ke parameter ketiga yang benar.
Saya seharusnya membaca halaman manual sebelum memposting ini.
Bagaimanapun ini berfungsi:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Saya menutup masalah ini. Selamat Natal. Selamat tinggal.

picture jakoch pada 21 Des 2012
👍3

Semua 3 komentar

deskriptif: sudahkah Anda menentukan abaikanregex sama sekali?

$> /usr/bin/fail2ban-regex | head
Usage: /usr/bin/fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

jadi jika saya menambahkan aigngex ke misalnya sshd.conf (walaupun harus dihindari
penahan di bagian depan karena pencocokan untuk mengabaikanregex diterapkan ke penuh
garis, tanpa pengupasan waktu/tanggal) -- semuanya baik-baik saja

$> ./fail2ban-regex testcases/files/logs/sshd config/filter.d/sshd.conf config/filter.d/sshd.conf  2>/dev/null | grep -A2 Ignoreregex 
Ignoreregex: 2 total
|- #) [# of hits] regular expression
|  1) [2] \s*(?:\S+ )?(?:kernel: \[\d+\.\d+\] )?(?:@vserver_\S+ )?(?:(?:\[\d+\])?:\s+[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?|[\[\(]?sshd(?:\(\S+\))?[\]\)]?:?(?:\[\d+\])?:)?\s*(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

$> grep ignoreregex config/filter.d/sshd.conf
# Option:  ignoreregex
ignoreregex = %(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$

Pada Jumat, 21 Des 2012, Jens-André Koch menulis:

Opsi abaikanregex dalam file konfigurasi tidak berfungsi (v0.8.4).
Saat menguji dengan fail2ban-regex bahkan tidak ada "Tidak dapat mengkompilasi reguler
ekspresi" kesalahan dilemparkan.
Tidak ada kecocokan sama sekali:

Abaikanregex
|- Ekspresi reguler:

`- Jumlah kecocokan:

Saya melewatkan opsi konfigurasi umum atau apakah ini bug?

Yaroslav O. Halchenko
Rekan Pascadoktoral, Departemen Ilmu Psikologi dan Otak
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
Telepon: +1 (603) 646-9834 Faks: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic pada 21 Des 2012
👍3

:+1:
Ah, Anda benar. Terima kasih telah mengarahkan saya ke parameter ketiga yang benar.
Saya seharusnya membaca halaman manual sebelum memposting ini.
Bagaimanapun ini berfungsi:

fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf /etc/fail2ban/filter.d/suhosin.conf

Saya menutup masalah ini. Selamat Natal. Selamat tinggal.

jakoch picture jakoch pada 21 Des 2012
👍3

Selamat Natal! ;)

Pada Jumat, 21 Des 2012, Jens-André Koch menulis:

[1]:+1:
Ah, Anda benar. Terima kasih telah mengarahkan saya ke parameter ketiga yang benar.
Saya seharusnya membaca halaman manual sebelum memposting ini.
Bagaimanapun ini berfungsi:
fail2ban-regex error.log /etc/fail2ban/filter.d/suhosin.conf
/etc/fail2ban/filter.d/suhosin.conf

Saya menutup masalah ini. Selamat Natal. Selamat tinggal.


Balas email ini secara langsung atau [2] lihat di GitHub.

Referensi

Tautan yang terlihat

  1. https://github.com/fail2ban/fail2ban/issues/100#issuecomment -11623202

Yaroslav O. Halchenko
Rekan Pascadoktoral, Departemen Ilmu Psikologi dan Otak
Dartmouth College, 419 Moore Hall, Hinman Box 6207, Hanover, NH 03755
Telepon: +1 (603) 646-9834 Faks: +1 (603) 646-1419
WWW: http://www.linkedin.com/in/yarik

yarikoptic picture yarikoptic pada 21 Des 2012
Apakah halaman ini membantu?
0 / 5 - 0 peringkat

Masalah terkait

KiwiMorpheus picture KiwiMorpheus  ·  3Komentar
4Syno picture 4Syno  ·  6Komentar
thereporter42 picture thereporter42  ·  7Komentar
DazzlerJay picture DazzlerJay  ·  7Komentar
TommyFrass picture TommyFrass  ·  5Komentar