Seite 1 von 1

Fail2Ban Joomla

Verfasst: 25. Feb 2017, 06:45
von tkt
Hallo zusammen,

ich möchte gern meinen Joomla Login mit Fail2ban schützen. Ich habe dazu mehrere Anleitungen gefunden. Doch leider stimmen die Logeintrage der Beispiele nicht mit meinen Logeinträgen überein weswegen die filters.d Regel nicht funktioniert.

in der Anleitung die ich gefunden habe sieht der LOG so aus.

Aug 24 14:56:05 ibm joomla: [error] [client 192.168.122.122] user testuser sup.domain.com authentication failure

und die passanende Regel dazu so

failregex = [[]client <HOST>[]] user .* authentication failure.*

bei mir sie der log aber so aus

2017/02/20 17:03:12 [error] 27218#0: *12013 FastCGI sent in stderr: "PHP message: user testuser authentication failure" while reading response header from upstream, client: 192.168.122.122, server: domain.com, request: "POST /index.php?task=user.login HTTP/2.0", upstream: "fastcgi://unix:///var/www/vhosts/system/domain.com/php-fpm.sock:", host: "www.domain.com", referrer: "https://www.domain.com/"

Wie muss ich die Regel verändern damit es funktioniert ?

Vielen Dank für eure Unterstützung

MfG der tkt

Re: Fail2Ban Joomla

Verfasst: 27. Feb 2017, 17:38
von Martin
Hi,

ich kann empfehlen mit:
fail2ban-regex /var/log/logfile.log /etc/fail2ban/filter.d/filter-name.conf

zu testen, ob der Regex matcht.
Sehr wahrscheinlich geht folgender Regex:
failregex = .*PHP message: user testuser authentication failure" while reading response header from upstream, client: <HOST>, server: .*, request: "POST .*

Re: Fail2Ban Joomla

Verfasst: 28. Feb 2017, 21:50
von tkt
Hallo Martin,

danke für deine Hilfe ich habe es hinbekommen, musste es zwar noch ein wenig abändern, aber jetz läuft es :)


failregex = .*authentication failure" while reading response header from upstream, client: <HOST>, server: .*, request: "POST .*


Mfg der tkt