Fail2Ban Joomla

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
tkt
Beiträge: 2
Registriert: 25. Feb 2017, 06:33

Fail2Ban Joomla

Beitrag von tkt » 25. Feb 2017, 06:45

Hallo zusammen,

ich möchte gern meinen Joomla Login mit Fail2ban schützen. Ich habe dazu mehrere Anleitungen gefunden. Doch leider stimmen die Logeintrage der Beispiele nicht mit meinen Logeinträgen überein weswegen die filters.d Regel nicht funktioniert.

in der Anleitung die ich gefunden habe sieht der LOG so aus.

Aug 24 14:56:05 ibm joomla: [error] [client 192.168.122.122] user testuser sup.domain.com authentication failure

und die passanende Regel dazu so

failregex = [[]client <HOST>[]] user .* authentication failure.*

bei mir sie der log aber so aus

2017/02/20 17:03:12 [error] 27218#0: *12013 FastCGI sent in stderr: "PHP message: user testuser authentication failure" while reading response header from upstream, client: 192.168.122.122, server: domain.com, request: "POST /index.php?task=user.login HTTP/2.0", upstream: "fastcgi://unix:///var/www/vhosts/system/domain.com/php-fpm.sock:", host: "www.domain.com", referrer: "https://www.domain.com/"

Wie muss ich die Regel verändern damit es funktioniert ?

Vielen Dank für eure Unterstützung

MfG der tkt

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban Joomla

Beitrag von Martin » 27. Feb 2017, 17:38

Hi,

ich kann empfehlen mit:
fail2ban-regex /var/log/logfile.log /etc/fail2ban/filter.d/filter-name.conf

zu testen, ob der Regex matcht.
Sehr wahrscheinlich geht folgender Regex:
failregex = .*PHP message: user testuser authentication failure" while reading response header from upstream, client: <HOST>, server: .*, request: "POST .*
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

tkt
Beiträge: 2
Registriert: 25. Feb 2017, 06:33

Re: Fail2Ban Joomla

Beitrag von tkt » 28. Feb 2017, 21:50

Hallo Martin,

danke für deine Hilfe ich habe es hinbekommen, musste es zwar noch ein wenig abändern, aber jetz läuft es :)


failregex = .*authentication failure" while reading response header from upstream, client: <HOST>, server: .*, request: "POST .*


Mfg der tkt

Antworten