Fail2ban und proftpd

[Tocotac]

Hallo,

ich habe fail2ban installiert und möchte damit gerne die Brute-Force-Attacken ein wenig einschränken. Nur leider scheint die Regexp nicht zu greifen...

in /var/log/auth.log steht:

Code:

May 16 10:27:21 server proftpd[23647]: server (85.119.157.254[85.119.157.254]) - USER asdasdasdasd: no such user found from 85.119.157.254 [85.119.157.254] to
 192.168.0.3:21
May 16 10:27:23 server proftpd[23647]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:27:33 server proftpd[23649]: server (85.119.157.254[85.119.157.254]) - USER asdasdasdas: no such user found from 85.119.157.254 [85.119.157.254] to
192.168.0.3:21
May 16 10:27:37 server proftpd[23649]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:27:50 server proftpd[23651]: server (85.119.157.254[85.119.157.254]) - USER asdasdsadasdasd: no such user found from 85.119.157.254 [85.119.157.254]
 to 192.168.0.3:21
May 16 10:27:53 server proftpd[23651]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:28:02 server proftpd[23653]: server (85.119.157.254[85.119.157.254]) - USER sadasdasd: no such user found from 85.119.157.254 [85.119.157.254] to 19
2.168.0.3:21
May 16 10:28:05 server proftpd[23653]: server (85.119.157.254[85.119.157.254]) - FTP session closed.
May 16 10:30:06 server proftpd[23765]: server (85.119.157.254[85.119.157.254]) - USER asd: no such user found from 85.119.157.254 [85.119.157.254] to 192.168.
0.3:21

und in der /etc/fail2ban/filter.d/proftpd.conf steht folgende regexp:

Code:

failregex = USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$

Code:

server:~# /usr/bin/fail2ban-regex /var/log/auth.log 'USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$'

Sorry, no match

ich habe auch laut diesem Howto eine andere regexp versucht:

Code:

proftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>

Code:

server:~# /usr/bin/fail2ban-regex /var/log/auth.log 'proftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>'

Sorry, no match

Hat jemand fail2ban mit proftpd am laufen? Was ich erreichen möchte ist, die Versuche mit unbekannten Benutzer, sowie mit bekannten Benutzer und falschen Passwort zu unterbinden.

Es handelt sich hierbei um Debian etch...

Code:

server:~# uname -a
Linux server 2.6.18-3-686 #1 SMP Mon Dec 4 16:41:14 UTC 2006 i686 GNU/Linux

Vielen Dank
Christian

[Apropo]

Das Thema ist zwar schon alt, aber ich habe genau das gleiche Problem.

Hat da inzwischen jemand eine Lösung für gefunden?

[John W]

Der regex stimmt nicht, würd ich meinen. Versucht mal den folgenden:

Code:

USER \S+: no such user found from \S* \S+ to \S+\S*

Habs mit nem Tool geprüft, der hier sollte funzen, bei "USER \S+: no such user found from \S* ?\[<HOST>\] to \S+\s*$" findet er hingegen nix.