RegEx Problem mit Fail2Ban

Apache, Lighttpd, nginx, Cherokee
doublem
Posts: 38
Joined: 2008-12-03 11:37

RegEx Problem mit Fail2Ban

Post by doublem » 2008-12-03 11:42

Hallo zusammen,

ich bastel an einem RegEx für einen Filter in Fail2Ban, der aber leider nicht anschlägt.

Die entsprechende Zeile in der filter.conf lautet:

Code: Select all

failregex = ^<HOST>*(s)(404)(s)*$


Ein access_log Eintrag mit einem 404 Fehler wie z.b.

Code: Select all

82.252.27.100 - - [01/Dec/2008:20:42:34 +0100] "GET /test.pl HTTP/1.1" 404 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4"


soll den Filter "triggern".

Leider funktioniert die Erkennung mit meinem regulären Ausdruck nicht.

Wie muss der reguläre Ausdruck geändert werden? 8-[

Vielen Dank!

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: RegEx Problem mit Fail2Ban

Post by Roger Wilco » 2008-12-03 19:00


doublem
Posts: 38
Joined: 2008-12-03 11:37

Re: RegEx Problem mit Fail2Ban

Post by doublem » 2008-12-03 22:34

Danke für den Tipp!

Ich habe zig Varianten mit "fail2ban-regex" ausprobiert und bekomme immer nur "sorry, no match".

Code: Select all

fail2ban-regex '98.222.17.100 - - [01/Dec/2008:20:32:43 +0100] "GET /robots.py HTTP/1.1" 404 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4"' '^<HOST>*(s)(404)(s)*'


Ich sehe wahrscheinlich den Wald vor lauter Bäumen nicht mehr.

Wie muss ich meine RegEx nur anpassen?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11599
Joined: 2003-02-27 01:00
Location: Hamburg

Re: RegEx Problem mit Fail2Ban

Post by Joe User » 2008-12-03 22:53

http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 wrote:In order for a log line to match your failregex, it actually has to match in two parts: the beginning of the line has to match a timestamp pattern or regex, and the remainder of the line has to match your failregex. If the failregex is anchored with a leading ^, then the anchor refers to the start of the remainder of the line, after the timestamp and intervening whitespace.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

doublem
Posts: 38
Joined: 2008-12-03 11:37

[gelöst] RegEx Problem mit Fail2Ban

Post by doublem » 2008-12-04 09:26

Vielen Dank für die Hinweise.

Die für eine Apache-Standardinstallation unter SUSE 11.0 gültige Fail2Ban RegEx lautet:

Code: Select all

failregex = <HOST>.*s(404)s


Damit werden alle 404-Anfragen getriggert.

Wichtig: Nicht vergessen, in der jail.conf die richtige Logdatei einzustellen, also

Code: Select all

/var/log/apache2/access_log