Sigo sin ver correctamente tu correo. Utiliza maillog para leer donde esté el log del usuario invalido o atacante.
Has verificado que el filtro (/etc/fail2ban/filter.d) de fail2ban matchee contra lo que tenés en el log? Si cambia el formato, no va a coincidir y no hará nada. La config de fail2ban en pastebin, no puede verse, al parecer, no existe ( http://pastebin.com/Qna3gdgP ) El día 12 de abril de 2013 11:31, Luis Alberto Roman Aguirre <luisroma...@hotmail.com> escribió: > Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero > me queda la duda cuando haces la prueba con /var/log/secure eso es para todos > los servicios?, porque por ejemplo para el dovecot lo hago con el > /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento > que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el > pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer > Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo > pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot > buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun > asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: > http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui > el codigo sale deformado.esto sale en el testeo espero se pueda > ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- > Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, > postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# > fail2ban-regex /var/log/maillog > /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : > /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : > /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no > matchLook at the above section 'Running tests' which could contain > importantinformation.Gracias por su tiempo estimados. > Atte > Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en > postfix+dovecot >>To: centos-es@centos.org >>Message-ID: >><CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqzsf4vjkpj3o6y7hp...@mail.gmail.com> >>Content-Type: text/plain; charset=UTF-8 >> >>Hola Luis >>Podrías poner la config de fail2ban en algun servicio que respete los >>saltos de linea? (pastebin, por ejemplo) >>Asegurate de eliminar todos los datos de tu server antes... >> >>Comprobaste que este matcheando la regla contra el log? >>Lo haces asi, obviamente, reemplazando donde haga falta> >> >>Mi prueba la hice contra sshd >> >>root@proxy ~/ # fail2ban-client status >>Status > <|- Number of jail: 2 > <`- Jail list: apache-badUsersAuth, ssh >>root@proxy ~/ # fail2ban-client status ssh >>Status for the jail: ssh >>|- filter >>| |- File list: /var/log/secure >>| |- Currently failed: 0 >>| `- Total failed: 84 >>`- action > <|- Currently banned: 5 > <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 > <166.111.230.4 122.226.160.19 >>`- Total banned: 5 >>root@proxy ~/ # fail2ban-regex /var/log/secure >>/etc/fail2ban/filter.d/sshd.conf >> >>Running tests >>============= >> >>Use regex file : /etc/fail2ban/filter.d/sshd.conf >>Use log file : /var/log/secure >> >>[[ mucho mucho texto e ips ]] >>Date template hits: >>92938 hit(s): MONTH Day Hour:Minute:Second >> >>Success, the total number of match is 3181 >> >>However, look at the above section 'Running tests' which could contain >>important >>information. >>root@proxy ~/ # > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es -- Diego - Yo no soy paranoico! (pero que me siguen, me siguen) _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
