Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 16/12/2009, à 01:02

karch

[RESOLU] Problème Regex fail2ban et proFTPd

N'ayant pas de réponse dans la catégorie "autre" je me permet de poster ici
Au risque d'être redondant ...

J'ai depuis quelques temps maintenant un problème de regex sur les logs de mon serveur FTP
En effet, fail2ban semble ne pas être très compréhensif au niveau du format de la date présent dans les logs du serveur FTP.
J'ai volontairement essayer de me connecter avec un mauvais login pour avoir des billes dans les logs
[Petit rappel : Fail2Ban v0.8.4 | ProFTPD Version 1.3.2 ]
A savoir que quand je fais :
fail2ban-regex /var/log/proftpd/proftpd.log /etc/fail2ban/filter.d/proftpd.conf
Il me répond bien gentillement que :
Use regex file : /etc/fail2ban/filter.d/proftpd.conf
Use log file   : /var/log/proftpd/proftpd.log
Found a match for 'd 192.168.0.31 proftpd[31242] 192.168.0.31 (freebox[192.168.0.254]): USER admin: no such user found from freebox [192.168.0.254] to 192.168.0.31:21
' but no valid date/time found for 'éc. 08 01:07:48'. Please contact the author in order to get support for this format
Il ne semble pas vouloir de ce qu'il y a derrière la première lettre du mois ... caractériel le fail2ban ?
Et les regex sont :
|  [1] \(\S+\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[\S+\] to \S+:\S+ *$
|  [2] \(\S+\[<HOST>\]\)[: -]+ USER \S+ \(Login failed\): .*$
|  [3] \(\S+\[<HOST>\]\)[: -]+ SECURITY VIOLATION: \S+ login attempted\. *$
|  [4] \(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\d+\) exceeded *$

J'ai eu beau chercher, mais rien ni fait. Je n'ai pas trouvé comment changer le logformat du proFTPd, j'ai vite fait vu que la version 0.8.4 de fail2ban corrigeait certains bugs à ce niveau, mais à part ca que neni.
D'autant plus que je ne suis pas un violent au niveau des regex ....

Si quelqu'un peut m'aiguiller ...
Merci d'avance

Dernière modification par karch (Le 16/12/2009, à 01:18)

Hors ligne

#2 Le 16/12/2009, à 01:18

karch

Re : [RESOLU] Problème Regex fail2ban et proFTPd

Problème résolu :

\(\S+.*\[<HOST>\]\)[: -]+ USER \S+: no such user found from \S+ \[\S+\] to \S+:\S+ *$

Hors ligne

Pages : 1