我正在使用fail2ban。 由于某些原因,Fail2Ban拒绝编译我的正则表达式。 这是我需要匹配的日志:

root@server1:/etc/fail2ban/filter.d# tail /var/log/apache2/error.log
[Sun Apr 20 10:40:05 2014] [error] [client 75.144.181.151] user root: authentication failure for "/phpmyadmin/": Password Mismatch
[Sun Apr 20 10:40:16 2014] [error] [client 75.144.181.151] user root: authentication failure for "/phpmyadmin/": Password Mismatch
[Sun Apr 20 10:40:38 2014] [error] [client 75.144.181.151] user haker not found: /phpmyadmin/
[Sun Apr 20 10:40:44 2014] [error] [client 75.144.181.151] user pentest not found: /phpmyadmin/

这是我的fail2ban filter.d文件:

root@server1:/etc/fail2ban/filter.d# cat /etc/fail2ban/filter.d/phpmyadmin.conf
[Definition]
failregex = [client <HOST>;] user .*; not found: \/phpmyadmin\/|[client <HOST>;] user root: authentication failure for "\/phpmyadmin\/":
ignoreregex =

这是我上面文件中的正则表达式行:

[client <HOST>;] user .*; not found: \/phpmyadmin\/|[client <HOST>;] user root: authentication failure for "\/phpmyadmin\/":

不幸的是,fail2ban日志文件给我有关正则表达式的错误: 无法编译正则表达式。

root@server1:/etc/fail2ban# tail /var/log/fail2ban.log
2014-04-20 10:47:06,788 fail2ban.filter : INFO   Added logfile = /var/log/apache2/error.log
2014-04-20 10:47:06,789 fail2ban.filter : INFO   Set maxRetry = 3
2014-04-20 10:47:06,789 fail2ban.filter : INFO   Set findtime = 600
2014-04-20 10:47:06,790 fail2ban.actions: INFO   Set banTime = 600
2014-04-20 10:47:06,790 fail2ban.filter : ERROR  Unable to compile regular expression '[client (?:::f{4,6}:)?(?P<host>[\w\-.^_]+);] user .*; not found: \/phpmyadmin\/|[client (?:::f{4,6}:)?(?P<host>[\w\-.^_]+);] user root: authentication failure for "\/phpmyadmin\/":'
2014-04-20 10:47:06,794 fail2ban.jail   : INFO   Jail 'ssh' started
2014-04-20 10:47:06,799 fail2ban.jail   : INFO   Jail 'pureftpd' started
2014-04-20 10:47:06,805 fail2ban.jail   : INFO   Jail 'phpmyadmin' started

我的正则表达式http://regex101.com/r/kU7tX3 这有什么问题? 任何帮助表示赞赏。 谢谢。

===============>>#1 票数:0

我会在评论中问一个问题,但我无法添加评论:

因此,请尽我所能理解要求并给出答案。

要求:我认为您正在筛选包含“ / phpmyadmin /”的身份验证失败的所有行。

您可以通过将正则表达式更改为以下内容来实现:

failregex = .*authentication failure for "\/phpmyadmin\/"

您可能必须逃脱“

如果这不是正确的理解,请添加评论。

  ask by sg552 translate from so

未解决问题?本站智能推荐:

1回复

fail2ban正则表达式中没有匹配项

我正在使用fail2ban尝试阻止任何获得多次失败登录的IP,失败登录在我们的应用程序日志中记录为“ /login.html?success=no”。 所以我创建了一个fail2ban .conf,但是找不到它的匹配项,但是当我使用此站点时,它会突出显示该行。 我的.conf看起来像这样
1回复

Fail2ban正则表达式

我曾尝试为exim邮件服务器编写一个fail2ban的正则表达式,但似乎找不到任何匹配项。 即使在拒绝的日志文件上。 这是我的exim_mainlog中的一行: 相同的条目在我的exim_rejectlog中。 这是我在exim_mainlog和exim_reject日志上
1回复

GLPI fail2ban正则表达式

我正在使用glpi,并且我想使用fail2ban监视失败的登录attemtps。 日志文件如下: 如果登录尝试失败,并且需要使用fail2ban禁止IP,则我需要此日志文件的正则表达式规则。 有人可以帮我吗? 谢谢!
1回复

正则表达式fail2ban规则

我在服务器上设置了Fail2ban,最近有很多恶意机器人在抓取我的网站,导致我的SQL服务器停机 从我的Apache2日志 如何为“ ahrefs.com”创建failregex? 非常感谢
1回复

fail2ban正则表达式嵌套或错误?

因此,今天我正尝试将一些正则表达式组合在一起以使用fail2ban过滤器。 这就是我注意到fail2ban在正则表达式模式中嵌套OR'ing有一些问题的地方。 输入字符串: 127.0.0.1 - - [13/Aug/2016:07:01:45 -0400] "a 模式: ^<
2回复

的fail2ban 正则表达式别名说明

我已经设置了fail2ban来保护主机,并且我注意到了这些信息 (?:::f{4,6}:)?(?P<host>\\S+)正则表达式如何工作? 我已经在一些不同的正则表达式检查器和解释器中进行过尝试,但至少(?P<host>\\S+)部分没有人可以解析它。
1回复

用于apache日志的fail2ban正则表达式模式

无法获得正则表达式模式以使用fail2ban。 我们的服务器受到sqlmap渗透测试的打击,我希望能够在记录这些IP时禁用它们。 从我看到的其他示例来看,似乎我不必尝试匹配日志条目的每个部分,但只能搜索单词或字符串。 似乎无法使模式正确。 任何帮助都很高兴。 谢谢 当前过滤器:
1回复

fail2ban需要帮助来创建正则表达式规则

我试图保护我的服务器免受xmlrpc.php ddos​​的攻击。 我使用了fail2ban,但是我发现的正则表达式似乎没问题。 你可以看看: 这是日志: 8月2日17:33:11 myserver磅:my.web.site 188.209.49.38--[02 / Au
2回复

fail2ban找到一个Apache正则表达式

我正在尝试设置fail2ban并使用正则表达式失败...在我的apache日志中我有这样的行 所有这些条目都有一个共同点,即“?do =”,它根本无效(因此不会影响常规页面),我试图用正则表达式来捕获它 但没有匹配。 经过几个小时的搜寻,我迷路了。 有人可以帮助我使用正则表达
1回复

fail2ban为failregex执行正则表达式

我需要一些帮助来为failregex创建正则表达式,以查找和禁止源IP(例如SRC = 192.168.0.1并禁止IP 192.168.0.1),该日志中: [ATT]可疑:IN = eth0 OUT = MAC = xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx: