Apache2 Anmeldung .htaccess

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
A.S.
Beiträge: 6
Registriert: 23. Jan 2016, 14:42

Apache2 Anmeldung .htaccess

Beitrag von A.S. » 23. Jan 2016, 15:54

Hallo,
habe eben gemerkt, das fail2ban bei fehlerhaften .htaccess anmeldungen die IP Adresse nicht blockt. Woran kann es liegen??

Log:

Code: Alles auswählen

[Sat Jan 23 15:41:23.968823 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:24.276804 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:24.504694 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:24.707373 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:24.904733 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:25.123830 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:25.296675 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:25.517458 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:25.722714 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:25.896016 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:26.135589 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:26.340806 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
[Sat Jan 23 15:41:26.555833 2016] [auth_basic:error] [pid 19315] [client Meine IP] AH01618: user test not found: /ordner/
jail.conf:

Code: Alles auswählen

[apache]

enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

Filter:

Code: Alles auswählen


# Fail2Ban apache-auth filter
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# apache-common.local
before = apache-common.conf

[Definition]


failregex = ^%(_apache_error_client)s (AH01797: )?client denied by server configuration: (uri )?\S*\s*$
            ^%(_apache_error_client)s (AH01617: )?user .* authentication failure for "\S*": Password Mismatch$
            ^%(_apache_error_client)s (AH01618: )?user .* not found(: )?\S*\s*$
            ^%(_apache_error_client)s (AH01614: )?client used wrong authentication scheme: \S*\s*$
            ^%(_apache_error_client)s (AH\d+: )?Authorization of user \S+ to access \S* failed, reason: .*$
            ^%(_apache_error_client)s (AH0179[24]: )?(Digest: )?user .*: password mismatch: \S*\s*$
            ^%(_apache_error_client)s (AH0179[01]: |Digest: )user `.*' in realm `.+' (not found|denied by provider): \S*\s*$
            ^%(_apache_error_client)s (AH01631: )?user .*: authorization failure for "\S*":\s*$
            ^%(_apache_error_client)s (AH01775: )?(Digest: )?invalid nonce .* received - length is not \S+\s*$
            ^%(_apache_error_client)s (AH01788: )?(Digest: )?realm mismatch - got `.*' but expected `.+'\s*$
            ^%(_apache_error_client)s (AH01789: )?(Digest: )?unknown algorithm `.*' received: \S*\s*$
            ^%(_apache_error_client)s (AH01793: )?invalid qop `.*' received: \S*\s*$
            ^%(_apache_error_client)s (AH01777: )?(Digest: )?invalid nonce .* received - user attempted time travel\s*$

ignoreregex =


Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Apache2 Anmeldung .htaccess

Beitrag von Martin » 23. Jan 2016, 19:00

Hi,

mhhhh. die Zahlen bei "AHxxxx" stimmen mit den Zahlen im Regex überein?

Was sagt denn ein fail2ban-regex /var/log/apachd2/xxxx-error.log /etc/fail2ban/filter.d/apachexxxx.conf?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

A.S.
Beiträge: 6
Registriert: 23. Jan 2016, 14:42

Re: Apache2 Anmeldung .htaccess

Beitrag von A.S. » 23. Jan 2016, 19:24

Code: Alles auswählen

Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/apache-auth.conf
Use      single line : /var/log/apachd2/error.log


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:

Lines: 1 lines, 0 ignored, 0 matched, 1 missed
|- Missed line(s):
|  /var/log/apachd2/error.log
`-


Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Apache2 Anmeldung .htaccess

Beitrag von Martin » 23. Jan 2016, 19:30

Hi,

ja, dann treffen die Regex-Regeln nicht.
Ich würde hier mal die Einträge ohne die [AHxxxx] Nummern schreiben und stattdessen ein .* und grober.
Dann sollten die Regeln matchen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

A.S.
Beiträge: 6
Registriert: 23. Jan 2016, 14:42

Re: Apache2 Anmeldung .htaccess

Beitrag von A.S. » 23. Jan 2016, 19:42

hmm das leigt an was anderen:

Code: Alles auswählen

Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/apache-auth.conf
Use         log file : /var/log/apache2/error.log


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [6940] WEEKDAY MONTH Day Hour:Minute:Second[.subsecond] Year
`-

Lines: 6982 lines, 0 ignored, 0 matched, 6982 missed
Missed line(s):: too many to print.  Use --print-all-missed to print all 6982 lines
Datumsformat?

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Apache2 Anmeldung .htaccess

Beitrag von Martin » 23. Jan 2016, 19:54

mhhh, in deinen Apache-Logs sind Micro-Sekunden mit angegeben?
Und in den Error-Logs wird die pid mit geloggt....

Stell einmal im Apache-Log das Logformat nur auf:
[Sat Jan 23 15:41:25 2016]
[edit] bzw. Fail2Ban sollte auch die "Subsekunden" mit klar kommen.....

um, dann sollte ein Regex mit:
.*[auth_basic:error] [pid .*] [client <CLIENT>] .*: user test not found:.*
treffen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

A.S.
Beiträge: 6
Registriert: 23. Jan 2016, 14:42

Re: Apache2 Anmeldung .htaccess

Beitrag von A.S. » 23. Jan 2016, 20:22

Sry aber ich weiß leider nicht wie man das in der /etc/apache2/apache2.conf ändert. Da hörts bei mir echt auf. Kannst du mir da helfen?

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Apache2 Anmeldung .htaccess

Beitrag von Martin » 28. Jan 2016, 10:22

Hi,

der default-Eintrag von den Logs in der apache2.conf, sieht wie folgt aus:

Code: Alles auswählen

LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten