fail2ban und regulärer Ausdruck

20/03/2008 - 19:11 von Samuel Suther | Report spam
Ich habe fail2ban installiert.
Mein ftp schreibt seine Meldungen im folgenden Format in die Logdateien:

Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - FTP session opened.
Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - mod_delay/0.5: delaying for 35 usecs
Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - no such user 'anonymous'
Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - USER anonymous: no such user found from
84.44.201.76 [84.44.201.76] to 12.34.123.123:21

Kann mir jemand einen Tipp geben, wie ich einen Regulàren ausdruck dafür
erstellen kann?
 

Lesen sie die antworten

#1 Samuel Suther
20/03/2008 - 19:23 | Warnen spam
Samuel Suther wrote:

Ich habe fail2ban installiert.
Mein ftp schreibt seine Meldungen im folgenden Format in die Logdateien:

Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - FTP session opened.
Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - mod_delay/0.5: delaying for 35 usecs
Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - no such user 'anonymous'
Dec 28 14:05:55 km22011-17 proftpd[3700]: xxx.xxx.de (84.44.201.7
[84.44.201.76]) - USER anonymous: no such user found from
84.44.201.76 [84.44.201.76] to 12.34.123.123:21

Kann mir jemand einen Tipp geben, wie ich einen Regulàren ausdruck dafür
erstellen kann?



So, den obersten Befehl hab ich schon hinbekommen, jetzt hànge ich an dem 2. Befehl... und hier die failregex-Zeile:

failregex = \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[[0-9.]+\] to \S+:\S+.*$
\(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): Incorrect password\.$
\(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\.$
\(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded$

Ähnliche fragen