debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

fail2ban eigener Filter: Platzhalter

https://debianforum.de/forum/viewtopic.php?t=170773

Seite 1 von 1

fail2ban eigener Filter: Platzhalter

Verfasst: 12.09.2018 16:50:11
von ascTim
Hallo zusammen,

ich möchte eine neue fail2ban Regel einrichten, die unerwünschte Loginversuche zum phpmyadmin abwehrt.
Die Einträge in der Log-Datei sehen folgendermaßen aus:

Code: Alles auswählen

201.150.x.x - - [12/Sep/2018:10:53:43 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=calvin&server=1 HTTP/1.1" 200 13169 "-" "Mozilla/5.0"
201.150.x.x - - [12/Sep/2018:10:53:43 +0200] "GET /phpmyadmin/index.php?pma_username=root&pma_password=wgj&server=1 HTTP/1.1" 200 13169 "-" "Mozilla/5.0"
Dass ich ganz vorne die Variable HOST verwenden kann ist mir klar. Allerdings ändert sich logischerweise immer der Timestamp. Der Bereich ab "GET /phpmyadmin ..." bleibt nahezu identisch.
Gibt es eine Möglichkeit, diese Zugriffe mit fail2ban zu erkennen und die IPs zu blockieren?


Beste Grüße

ascTim

Re: fail2ban eigener Filter: Plazhalter

Verfasst: 13.09.2018 11:17:49
von weshalb
Zum Regexschreiben gibt es viele Anleitungen im Netz.

Getestet wird mit:

Code: Alles auswählen

fail2ban-regex /pfad/zum/xyz.log /etc/fail2ban/filter.d/name der Regex.conf
Da phpmyadmin nicht ganz ohne ist, empfehle ich dir, den Zugang zusätzlich über htpasswd abzusichern. Ein Nebeneffekt ist der, dass dort bei Fehleingabe fail2ban über das Modul "apache-auth" anspringt.
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/