Sigo sin ver correctamente tu correo.

Utiliza maillog para leer donde esté el log del usuario invalido o atacante.

Has verificado que el filtro (/etc/fail2ban/filter.d) de fail2ban
matchee contra lo que tenés en el log?
Si cambia el formato, no va a coincidir y no hará nada.

La config de fail2ban en pastebin, no puede verse, al parecer, no
existe ( http://pastebin.com/Qna3gdgP )


El día 12 de abril de 2013 11:31, Luis Alberto Roman Aguirre
<luisroma...@hotmail.com> escribió:
> Buenas listeros:Mi estimado Diego  revise lo que me pasastes y aun nada, pero 
> me queda la duda cuando haces la prueba con /var/log/secure eso es para todos 
> los servicios?, porque por ejemplo  para el dovecot lo hago con el  
> /var/log/maillog, pero aun asi probe con los dos y  aun nada. Y les comento  
> que aun sigo  siendo escaneado  o bien ya no se que pasa. lo Hize en el  
> pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer 
> Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del  jail.conf lo 
> pegare en pastebin: http://pastebin.com/Qna3gdgP  ,  la parte de dovecot 
> buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun 
> asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: 
> http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui  
> el codigo sale deformado.esto sale en el testeo espero se pueda 
> ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail:      6`- 
> Jail list:           proftpd-iptables, dovecot-pop3imap, ssh-iptables, 
> postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# 
> fail2ban-regex /var/log/maillog 
> /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : 
> /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file   : 
> /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no 
> matchLook at the above section 'Running tests' which could contain 
> importantinformation.Gracias por su tiempo estimados.
> Atte
> Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en 
> postfix+dovecot
>>To: centos-es@centos.org
>>Message-ID:
>><CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqzsf4vjkpj3o6y7hp...@mail.gmail.com>
>>Content-Type: text/plain; charset=UTF-8
>>
>>Hola Luis
>>Podrías poner la config de fail2ban en algun servicio que respete los
>>saltos de linea? (pastebin, por ejemplo)
>>Asegurate de eliminar todos los datos de tu server antes...
>>
>>Comprobaste que este matcheando la regla contra el log?
>>Lo haces asi, obviamente, reemplazando donde haga falta>
>>
>>Mi prueba la hice contra sshd
>>
>>root@proxy ~/ # fail2ban-client status
>>Status
> <|- Number of jail: 2
> <`- Jail list: apache-badUsersAuth, ssh
>>root@proxy ~/ # fail2ban-client status ssh
>>Status for the jail: ssh
>>|- filter
>>| |- File list: /var/log/secure
>>| |- Currently failed: 0
>>| `- Total failed: 84
>>`- action
> <|- Currently banned: 5
> <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22
> <166.111.230.4 122.226.160.19
>>`- Total banned: 5
>>root@proxy ~/ # fail2ban-regex /var/log/secure 
>>/etc/fail2ban/filter.d/sshd.conf
>>
>>Running tests
>>=============
>>
>>Use regex file : /etc/fail2ban/filter.d/sshd.conf
>>Use log file : /var/log/secure
>>
>>[[ mucho mucho texto e ips ]]
>>Date template hits:
>>92938 hit(s): MONTH Day Hour:Minute:Second
>>
>>Success, the total number of match is 3181
>>
>>However, look at the above section 'Running tests' which could contain 
>>important
>>information.
>>root@proxy ~/ #
> _______________________________________________
> CentOS-es mailing list
> CentOS-es@centos.org
> http://lists.centos.org/mailman/listinfo/centos-es



-- 
Diego - Yo no soy paranoico! (pero que me siguen, me siguen)
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Responder a