Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en postfix+dovecot
To: centos-es@centos.org Message-ID: CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqZSf4vjKPJ3O6Y7hpCfg@mail.gmail.com Content-Type: text/plain; charset=UTF-8
Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes...
Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta>
Mi prueba la hice contra sshd
root@proxy ~/ # fail2ban-client status Status
<|- Number of jail: 2 <`- Jail list: apache-badUsersAuth, ssh
root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action
<|- Currently banned: 5 <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 <166.111.230.4 122.226.160.19
`- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf
Running tests
Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure
[[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second
Success, the total number of match is 3181
However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ #
Por favor dejen de enviarme estos correos tan raros, gracias.
Luis Alberto Roman Aguirre luisroman80@hotmail.com escribió:
Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en postfix+dovecot
To: centos-es@centos.org Message-ID: CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqZSf4vjKPJ3O6Y7hpCfg@mail.gmail.com Content-Type: text/plain; charset=UTF-8
Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes...
Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta>
Mi prueba la hice contra sshd
root@proxy ~/ # fail2ban-client status Status
<|- Number of jail: 2 <`- Jail list: apache-badUsersAuth, ssh
root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action
<|- Currently banned: 5 <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 <166.111.230.4 122.226.160.19
`- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf
Running tests
Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure
[[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second
Success, the total number of match is 3181
However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ #
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Sigo sin ver correctamente tu correo.
Utiliza maillog para leer donde esté el log del usuario invalido o atacante.
Has verificado que el filtro (/etc/fail2ban/filter.d) de fail2ban matchee contra lo que tenés en el log? Si cambia el formato, no va a coincidir y no hará nada.
La config de fail2ban en pastebin, no puede verse, al parecer, no existe ( http://pastebin.com/Qna3gdgP )
El día 12 de abril de 2013 11:31, Luis Alberto Roman Aguirre luisroman80@hotmail.com escribió:
Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en postfix+dovecot
To: centos-es@centos.org Message-ID: CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqZSf4vjKPJ3O6Y7hpCfg@mail.gmail.com Content-Type: text/plain; charset=UTF-8
Hola Luis Podrías poner la config de fail2ban en algun servicio que respete los saltos de linea? (pastebin, por ejemplo) Asegurate de eliminar todos los datos de tu server antes...
Comprobaste que este matcheando la regla contra el log? Lo haces asi, obviamente, reemplazando donde haga falta>
Mi prueba la hice contra sshd
root@proxy ~/ # fail2ban-client status Status
<|- Number of jail: 2 <`- Jail list: apache-badUsersAuth, ssh
root@proxy ~/ # fail2ban-client status ssh Status for the jail: ssh |- filter | |- File list: /var/log/secure | |- Currently failed: 0 | `- Total failed: 84 `- action
<|- Currently banned: 5 <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 <166.111.230.4 122.226.160.19
`- Total banned: 5 root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf
Running tests
Use regex file : /etc/fail2ban/filter.d/sshd.conf Use log file : /var/log/secure
[[ mucho mucho texto e ips ]] Date template hits: 92938 hit(s): MONTH Day Hour:Minute:Second
Success, the total number of match is 3181
However, look at the above section 'Running tests' which could contain important information. root@proxy ~/ #
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
Diego Sanchez -
Luis Alberto Roman Aguirre -
tino@hostigal.com