fail2ban eigener Filter: Platzhalter
Verfasst: 12.09.2018 16:50:11
Hallo zusammen,
ich möchte eine neue fail2ban Regel einrichten, die unerwünschte Loginversuche zum phpmyadmin abwehrt.
Die Einträge in der Log-Datei sehen folgendermaßen aus:
Dass ich ganz vorne die Variable HOST verwenden kann ist mir klar. Allerdings ändert sich logischerweise immer der Timestamp. Der Bereich ab "GET /phpmyadmin ..." bleibt nahezu identisch.
Gibt es eine Möglichkeit, diese Zugriffe mit fail2ban zu erkennen und die IPs zu blockieren?
Beste Grüße
ascTim
ich möchte eine neue fail2ban Regel einrichten, die unerwünschte Loginversuche zum phpmyadmin abwehrt.
Die Einträge in der Log-Datei sehen folgendermaßen aus:
Code: Alles auswählen
201.150.x.x - - [12/Sep/2018:10:53:43 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=calvin&server=1 HTTP/1.1" 200 13169 "-" "Mozilla/5.0"
201.150.x.x - - [12/Sep/2018:10:53:43 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=wgj&server=1 HTTP/1.1" 200 13169 "-" "Mozilla/5.0"
Gibt es eine Möglichkeit, diese Zugriffe mit fail2ban zu erkennen und die IPs zu blockieren?
Beste Grüße
ascTim