ColossusCH
New Member
Hallo zusammen,
ich habe ein kleines Problem (Anfängerproblem?), um fail2ban für FTP Brute Force Attacken zu konfigurieren.
mit folgenen Sachen habe ich ein bisschen zu kämpfen (auszug aus "auth.log"):
Apr 30 06:22:05 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:53 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
und dies ohne Ende.
Mein System ist Debian Lenny mit ISPconfig 3 (gemäss Anleitung von Falko (nochmals herzlichen Dank)).
Standartmässig ist fail2ban für SSH konfiguriert. Eine Anleitung zum aktivieren von pure-ftpd habe ich hier gefunden:
http://www.howtoforge.com/forums/showthread.php?t=13830
ich habe folgende sachen gemacht:
in der erstellten kopie von "jail.conf" - "jail.local"
dann mit folgendem Befehl eine Datei "pureftpd.conf" erstellt
und hier folgendes eingefügt:
dann restart mit:
SSH wir geblockt aber für FTP hat dies keinen Effekt.
Ich habe auch die folgende einstellung für "pureftp.conf" probiert, hat jedoch auch nichts gebracht:
weiterhin habe ich gelesen, dass für Debian Etch folgendes gemacht werden muss:
leider auch ohne Erfolg,
ich habe auch irgendwo gelesen, dass ich in der "jail.local" auf die "syslog" anstelle von der "auth.log" zugreifen soll (auch ohne effekt).
kann mir jemand weiterhelfen?
Im voraus herzlichen Dank.
PS.
eine Meldung aus dem fail2ban Log:
2009-04-30 14:04:02,096 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:04:38,142 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:05:58,728 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:07:03,515 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
was bedeutet dies ????
Hier ein weiterer Auszug aus dem fail2ban log:
2009-05-01 06:36:28,126 fail2ban.jail : INFO Creating new jail 'pureftpd'
2009-05-01 06:36:28,126 fail2ban.jail : INFO Jail 'pureftpd' uses poller
2009-05-01 06:36:28,220 fail2ban.filter : INFO Added logfile = /var/log/syslog
2009-05-01 06:36:28,221 fail2ban.filter : INFO Set maxRetry = 3
2009-05-01 06:36:28,228 fail2ban.filter : INFO Set findtime = 600
2009-05-01 06:36:28,229 fail2ban.actions: INFO Set banTime = 600
2009-05-01 06:36:28,239 fail2ban.jail : INFO Creating new jail 'ssh'
2009-05-01 06:36:28,239 fail2ban.jail : INFO Jail 'ssh' uses poller
2009-05-01 06:36:28,333 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2009-05-01 06:36:28,337 fail2ban.filter : INFO Set maxRetry = 6
2009-05-01 06:36:28,338 fail2ban.filter : INFO Set findtime = 600
2009-05-01 06:36:28,339 fail2ban.actions: INFO Set banTime = 600
2009-05-01 06:36:28,532 fail2ban.jail : INFO Jail 'pureftpd' started
2009-05-01 06:36:28,540 fail2ban.jail : INFO Jail 'ssh' started
ich habe ein kleines Problem (Anfängerproblem?), um fail2ban für FTP Brute Force Attacken zu konfigurieren.
mit folgenen Sachen habe ich ein bisschen zu kämpfen (auszug aus "auth.log"):
Apr 30 06:22:05 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de
Apr 30 06:22:53 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown
und dies ohne Ende.
Mein System ist Debian Lenny mit ISPconfig 3 (gemäss Anleitung von Falko (nochmals herzlichen Dank)).
Standartmässig ist fail2ban für SSH konfiguriert. Eine Anleitung zum aktivieren von pure-ftpd habe ich hier gefunden:
http://www.howtoforge.com/forums/showthread.php?t=13830
ich habe folgende sachen gemacht:
in der erstellten kopie von "jail.conf" - "jail.local"
Code:
[pureftpd]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/auth.log
maxretry = 3dann mit folgendem Befehl eine Datei "pureftpd.conf" erstellt
Code:
vi filter.d/pureftpd.confund hier folgendes eingefügt:
Code:
[Definition]
failregex = pure-ftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>
ignoreregex =dann restart mit:
Code:
/etc/init.d/fail2ban restartSSH wir geblockt aber für FTP hat dies keinen Effekt.
Ich habe auch die folgende einstellung für "pureftp.conf" probiert, hat jedoch auch nichts gebracht:
Code:
[Definition]
failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
ignoreregex =weiterhin habe ich gelesen, dass für Debian Etch folgendes gemacht werden muss:
Code:
echo "yes" > /etc/pure-ftpd/conf/DontResolve
/etc/init.d/pure-ftpd-mysql restartleider auch ohne Erfolg,
ich habe auch irgendwo gelesen, dass ich in der "jail.local" auf die "syslog" anstelle von der "auth.log" zugreifen soll (auch ohne effekt).
kann mir jemand weiterhelfen?
Im voraus herzlichen Dank.
PS.
eine Meldung aus dem fail2ban Log:
2009-04-30 14:04:02,096 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:04:38,142 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:05:58,728 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
2009-04-30 14:07:03,515 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de
was bedeutet dies ????
Hier ein weiterer Auszug aus dem fail2ban log:
2009-05-01 06:36:28,126 fail2ban.jail : INFO Creating new jail 'pureftpd'
2009-05-01 06:36:28,126 fail2ban.jail : INFO Jail 'pureftpd' uses poller
2009-05-01 06:36:28,220 fail2ban.filter : INFO Added logfile = /var/log/syslog
2009-05-01 06:36:28,221 fail2ban.filter : INFO Set maxRetry = 3
2009-05-01 06:36:28,228 fail2ban.filter : INFO Set findtime = 600
2009-05-01 06:36:28,229 fail2ban.actions: INFO Set banTime = 600
2009-05-01 06:36:28,239 fail2ban.jail : INFO Creating new jail 'ssh'
2009-05-01 06:36:28,239 fail2ban.jail : INFO Jail 'ssh' uses poller
2009-05-01 06:36:28,333 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2009-05-01 06:36:28,337 fail2ban.filter : INFO Set maxRetry = 6
2009-05-01 06:36:28,338 fail2ban.filter : INFO Set findtime = 600
2009-05-01 06:36:28,339 fail2ban.actions: INFO Set banTime = 600
2009-05-01 06:36:28,532 fail2ban.jail : INFO Jail 'pureftpd' started
2009-05-01 06:36:28,540 fail2ban.jail : INFO Jail 'ssh' started
Zuletzt bearbeitet: