Malfaisant qui me remplit mon mail.log ..

[ddub]

Citation:

Envoyé par TBC_Ly0n

/etc/services fait une correspondance entre un service (pop3) et un port...

Merci pour l'info

[christophe char]

Citation:

Envoyé par ddub

C'est vrai que ces expressions régulières ca ne donne pas envie...

J'avais prévenu !!!

Citation:

Envoyé par ddub

Ton expression ne match pas
Essaye par ex :

Code:

failregex = vchkpw-pop3: vpopmail user not found .*@:<HOST>

Peux-tu m'expliquer (surtout la fin @:<HOST>) ?
N'y a-t'il pas besoin d'indiquer que l'expression peut se trouver au milieu d'une phrase ?

Citation:

Envoyé par ddub

A ce propos un petit outil très pratique que j'ai découvert tout récemment

Code:

fail2ban-regex FICHIER_LOG FICHIER_FILTRE

En effet, excellent pour faire des tests ... Merci

[braindead]

moi je prends une erreur au redémarrage de fail2ban avec le script que tu as donnée ?!

[christophe char]

Citation:

Envoyé par braindead

moi je prends une erreur au redémarrage de fail2ban avec le script que tu as donnée ?!

Quelle erreur ?
Moi c'est nickel et j'ai testé le filtre sur mon vieux log avec l'expression régulière corrigée et cela fonctionne bien

[braindead]

Ben j'arrive pas à trouver dans le log l'erreur justement ?!

Je vais copier le log tu verras (je viens de le stopper et redémarrer ) :

Code:

Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>
2008-03-06 09:53:30,896 fail2ban.actions.action: INFO   Set actionUnban =
2008-03-06 09:53:30,900 fail2ban.actions.action: INFO   Set actionCheck =
2008-03-06 11:35:25,828 fail2ban.server : INFO   Exiting Fail2ban

[christophe char]

Pour ma part, ça ne plante pas.
Le fail2ban-client status m'indique bien mon mon courrier-pop dans la jail list mais ce que je vois dans le log me laisse aussi un peu sur ma faim ...

Citation:

Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>
2008-03-06 09:03:40,707 fail2ban.actions.action: INFO Set actionUnban =
2008-03-06 09:03:40,707 fail2ban.actions.action: INFO Set actionCheck =
2008-03-06 09:03:40,712 fail2ban.actions.action: ERROR iptables -N fail2ban-pop
iptables -A fail2ban-pop -j RETURN
iptables -I INPUT -p tcp --dport pop3,pop3s -j fail2ban-pop returned 200

[braindead]

Je pense que mon problème vient de la taille de mail.log : 963 Mo

Comment le rajouter dans le logrotate ?

[christophe char]

Pour ma part, je passe par webmin

[braindead]

Et tu vas où pour rajouter des fichiers, je trouve pas

[youki]

hop...

Citation:

he jail <name> has been started successfuly.\n
Regards,\n
Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>
2008-03-11 11:30:20,444 fail2ban.actions.action: INFO Set actionUnban =
2008-03-11 11:30:20,445 fail2ban.actions.action: INFO Set actionCheck =
2008-03-11 11:30:38,493 fail2ban.actions: WARNING [courierpop3] Ban 89.xx.xx.181

chez moi çà fonctionne...
quelques petites modifications par rapport a votre script..:

j'ai un fichier iptables.conf

Citation:

name = default

# Option: port
# Notes.: specifies port to monitor
# Values: [ NUM | STRING ] Default:
#
port = [ ssh | pop3 ]

rajouté le port pop3 qui est le port sur lequel le serveur écoute
commande lsof -ni pour lister les ports écoutés

Citation:

[courierpop3]

enabled = true
filter = courierlogin
action = iptables[name=courier, port=pop3, protocol=tcp]
mail-whois[name=courier, dest=yourmail@mail.com]
logpath = /home/log/mail.log
maxretry = 5

dans jail.conf

courier étant le service pop par défaut...
courierlogin le filtre

enfin

Citation:

failregex = vchkpw-pop3: vpopmail user not found .*@*:<HOST>

dans le filtre courierlogin.conf , un deuxième "*" après le @ car parfois le login est sous la forme name@domaine

test chez moi avec la commande
fail2ban-regex /home/log/mail.log /etc/fail2ban/filter.d/courierlogin.conf

je suis sur release2 gentoo