Fail2ban Log nach bestimmten einträgen durchsuchen

[thaliruth]

Hallo liebe community, ich suche eine Regel womit Fail2ban meine Logs durchsucht und dann diese IP Adresse sperrt. Weil z.b. nach admin|administrator|wp-login etc gesucht hat.

Ich hatte da zwar was am laufen was bisher auch gut klappte, aber da ich nun ein Forum nutze wo es Logischerweise auch ein Login gibt, kann ich die derzeitige Regel nicht mehr Verwenden. Da Fail2ban alle sperrt die sich einloggen wollen wegen wp-login

Ich habe zwar im Internet einiges finden können, aber irgendwie ist alles nicht wirklich das wahre. Selbst einen 404 Blocker hatte ich probiert, ist aber meines Erachtens nach nicht gerade sinnvoll, wenn sich z.b. jemand in der URL vertippt, oder Googlebot auf eine Seite geht die es evtl nicht mehr gibt und dann geblockt wird.

Hier mal der Filter der bisher sehr gut klappte. Aber halt ebend alle zugriffe auf login sperrt wegen wp-login

Code: Select all

Definition]
failregex = \[client <HOST>\] File does not exist:.*(?i)admin.*
	\[client <HOST>\] File does not exist:.*(?i)setup.*
	\[client <HOST>\] File does not exist:.*(?i)mysql.*
	\[client <HOST>\] File does not exist:.*(?i)sqlweb.*
	\[client <HOST>\] File does not exist:.*(?i)webdb.*
	\[client <HOST>\] File does not exist:.*(?i)vtigercrm.*
	\[client <HOST>\] File does not exist:.*(?i)backup.*
	\[client <HOST>\] File does not exist:.*(?i)phpmyadmin.*
	\[client <HOST>\] File does not exist:.*(?i)wordpress.*
	\[client <HOST>\] File does not exist:.*(?i)phpMyAdmin.*
	\[client <HOST>\] File does not exist:.*(?i)myadmin.*
	\[client <HOST>\] File does not exist:.*(?i)administrator.*
	\[client <HOST>\] File does not exist:.*(?i)xampp.*
	\[client <HOST>\] File does not exist:.*(?i)phpmy-admin.*
	\[client <HOST>\] File does not exist:.*(?i)websql.*
	\[client <HOST>\] File does not exist:.*(?i)blogadmin.*
	\[client <HOST>\] File does not exist:.*(?i)blog-cpanel.*
	\[client <HOST>\] File does not exist:.*(?i)cpanel.*
	\[client <HOST>\] File does not exist:.*(?i)cpphpmyadmin.*
	\[client <HOST>\] File does not exist:.*(?i)wp-login.*
	\[client <HOST>\] File does not exist:.*(?i)wplogin.*
	\[client <HOST>\] File does not exist:.*(?i)mysqldumper.*
       \[client <HOST>\] File does not exist:.*(?i)myblog.*
	\[client <HOST>\] File does not exist:.*(?i)upload.*
	\[client <HOST>\] File does not exist:.*(?i)fileupload.*
	\[client <HOST>\] File does not exist:.*(?i)wp-admin.*
	\[client <HOST>\] File does not exist:.*(?i)wp-content.*
	\[client <HOST>\] File does not exist:.*(?i)script.*
	\[client <HOST>\] File does not exist:.*(?i)backup.*
	\[client <HOST>\] File does not exist:.*(?i)dump.*
	^<HOST>.*GET.*(?i)admin.*
	^<HOST>.*GET.*(?i)setup.*
	^<HOST>.*GET.*(?i)mysql.*
	^<HOST>.*GET.*(?i)sqlweb.*
	^<HOST>.*GET.*(?i)webdb.*
	^<HOST>.*GET.*(?i)vtigercrm.*
	^<HOST>.*GET.*(?i)backup.*
	^<HOST>.*GET.*(?i)phpmyadmin.*
	^<HOST>.*GET.*(?i)wordpress.*
	^<HOST>.*GET.*(?i)phpMyAdmin.*
	^<HOST>.*GET.*(?i)myadmin.*
	^<HOST>.*GET.*(?i)administrator.*
	^<HOST>.*GET.*(?i)xampp.*
	^<HOST>.*GET.*(?i)php-my-admin.*
	^<HOST>.*GET.*(?i)websql.*
	^<HOST>.*GET.*(?i)blogadmin.*
	^<HOST>.*GET.*(?i)blog-cpanel.*
	^<HOST>.*GET.*(?i)cpanel.*
	^<HOST>.*GET.*(?i)cpphpmyadmin.*
	^<HOST>.*GET.*(?i)wp-login.*
	^<HOST>.*GET.*(?i)wplogin.*
	^<HOST>.*GET.*(?i)mysqldumper.*
	^<HOST>.*GET.*(?i)myblog.*
	^<HOST>.*GET.*(?i)upload.*
	^<HOST>.*GET.*(?i)fileupload.*
	^<HOST>.*GET.*(?i)wp-admin.*
	^<HOST>.*GET.*(?i)wp-content.*
	^<HOST>.*GET.*(?i)script.*
	^<HOST>.*GET.*(?i)backup.*
	^<HOST>.*GET.*(?i)dump.*
ignoreregex = 

Wäre super wenn da evtl jemand helfen kann

[ddm3ve]

Ich hatte mir dazu überlegt, die kritischen Seiten wie wp-login wp-admin etc. per htccess zu sperren.
Danach kannst Du auf eine 403 reagieren basierend darauf sperren.