OVH Community, your new community space.

already banned fail2ban


nowwhat
07/02/2014, 20h12
Ok.

Les doubles jails, peut être, c'est par ce que t'as
jail.conf et jail.local
et dans les deux fichiers tu active les même jails - donc normal que t'as deux chaines iptables pour chaque jail..

Renomme jail.local en jail.local.off
Centralise toutes les paramètres personnalisé (comme ignoreip, mail, etc) dans jail.conf
Redémarre fail2ban
Réglé ??
Utilise éventuellement un jail.local - vide au début - pour tes propres jails "fait maison"

Tant que tu y est:
Dans jail.conf - section [DEFAULT]
backend
est quoi ? auto, polling ou gamain ?

WARNING Wrong value for 'enabled' in 'proftpd'. Using default one: ''false''
ERROR No file found for /var/log/vsftpd.log
ERROR No file found for /var/log/proftpd/proftpd.log
Vire le jail 'proftpd' - car mal initialisé et il ne trouve pas le fichier log 'proftpd' ni /var/log/vsftpd.log

Je te propose de bloquer 94.23.183.123 manuellement. Je ne sais pas pourquoi il passe quand même.
J'èspérer trouver une réponse dans le l....
Voir plus haut déjà:
édit: et en parallèle: le /var/log/auth.log

sbx59
07/02/2014, 15h25
Code:
2014-02-07 10:48:08,280 fail2ban.jail   : INFO   Jail 'apache' stopped
2014-02-07 10:48:08,281 fail2ban.server : INFO   Exiting Fail2ban
2014-02-07 10:48:11,994 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2014-02-07 10:48:11,996 fail2ban.jail   : INFO   Creating new jail 'ssh'
2014-02-07 10:48:12,018 fail2ban.jail   : INFO   Jail 'ssh' uses Gamin
2014-02-07 10:48:12,111 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2014-02-07 10:48:12,113 fail2ban.filter : INFO   Set maxRetry = 3
2014-02-07 10:48:12,118 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,120 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,246 fail2ban.jail   : INFO   Creating new jail 'apache'
2014-02-07 10:48:12,246 fail2ban.jail   : INFO   Jail 'apache' uses Gamin
2014-02-07 10:48:12,250 fail2ban.filter : INFO   Added logfile = /var/log/apache2/error.log
2014-02-07 10:48:12,251 fail2ban.filter : INFO   Set maxRetry = 3
2014-02-07 10:48:12,256 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,257 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,277 fail2ban.jail   : INFO   Creating new jail 'apache-multiport'
2014-02-07 10:48:12,277 fail2ban.jail   : INFO   Jail 'apache-multiport' uses Gamin
2014-02-07 10:48:12,280 fail2ban.filter : INFO   Added logfile = /var/log/apache2/error.log
2014-02-07 10:48:12,282 fail2ban.filter : INFO   Set maxRetry = 3
2014-02-07 10:48:12,286 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,288 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,305 fail2ban.jail   : INFO   Creating new jail 'apache-noscript'
2014-02-07 10:48:12,305 fail2ban.jail   : INFO   Jail 'apache-noscript' uses Gamin
2014-02-07 10:48:12,309 fail2ban.filter : INFO   Added logfile = /var/log/apache2/error.log
2014-02-07 10:48:12,310 fail2ban.filter : INFO   Set maxRetry = 6
2014-02-07 10:48:12,344 fail2ban.jail   : INFO   Creating new jail 'apache-overflows'
2014-02-07 10:48:12,344 fail2ban.jail   : INFO   Jail 'apache-overflows' uses Gamin
2014-02-07 10:48:12,348 fail2ban.filter : INFO   Added logfile = /var/log/apache2/error.log
2014-02-07 10:48:12,350 fail2ban.filter : INFO   Set maxRetry = 2
2014-02-07 10:48:12,354 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,356 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,376 fail2ban.jail   : INFO   Creating new jail 'vsftpd'
2014-02-07 10:48:12,377 fail2ban.jail   : INFO   Jail 'vsftpd' uses Gamin
2014-02-07 10:48:12,380 fail2ban.filter : INFO   Set maxRetry = 2
2014-02-07 10:48:12,384 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,386 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,408 fail2ban.jail   : INFO   Creating new jail 'proftpd'
2014-02-07 10:48:12,409 fail2ban.jail   : INFO   Jail 'proftpd' uses Gamin
2014-02-07 10:48:12,412 fail2ban.filter : INFO   Set maxRetry = 3
2014-02-07 10:48:12,416 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,418 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,450 fail2ban.jail   : INFO   Creating new jail 'pure-ftpd'
2014-02-07 10:48:12,451 fail2ban.jail   : INFO   Jail 'pure-ftpd' uses Gamin
2014-02-07 10:48:12,454 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2014-02-07 10:48:12,456 fail2ban.filter : INFO   Set maxRetry = 4
2014-02-07 10:48:12,460 fail2ban.filter : INFO   Set findtime = 3600
2014-02-07 10:48:12,462 fail2ban.actions: INFO   Set banTime = 604800
2014-02-07 10:48:12,547 fail2ban.jail   : INFO   Jail 'ssh' started
2014-02-07 10:48:12,568 fail2ban.jail   : INFO   Jail 'apache' started
2014-02-07 10:48:12,595 fail2ban.jail   : INFO   Jail 'apache-multiport' started
2014-02-07 10:48:12,634 fail2ban.jail   : INFO   Jail 'apache-noscript' started
2014-02-07 10:48:12,653 fail2ban.jail   : INFO   Jail 'apache-overflows' started
2014-02-07 10:48:12,674 fail2ban.jail   : INFO   Jail 'vsftpd' started
2014-02-07 10:48:12,701 fail2ban.jail   : INFO   Jail 'proftpd' started
2014-02-07 10:48:12,732 fail2ban.jail   : INFO   Jail 'pure-ftpd' started
2014-02-07 12:23:53,240 fail2ban.actions: WARNING [ssh] Ban 61.160.215.121
2014-02-07 12:46:50,864 fail2ban.actions: WARNING [ssh] Ban 94.23.183.123
2014-02-07 12:46:59,900 fail2ban.actions: WARNING [ssh] 94.23.183.123 already banned
2014-02-07 13:07:46,365 fail2ban.actions: WARNING [ssh] Ban 222.186.62.27
Aussi j'ai fait un stop, start :

Code:
# fail2ban-client -x stop
Shutdown successful
# fail2ban-client -x start
WARNING Wrong value for 'enabled' in 'proftpd'. Using default one: ''false''
ERROR  No file found for /var/log/vsftpd.log
ERROR  No file found for /var/log/proftpd/proftpd.log
2014-02-07 14:35:08,566 fail2ban.server : INFO   Starting Fail2ban v0.8.6
2014-02-07 14:35:08,567 fail2ban.server : INFO   Starting in daemon mode
Ta commande donne :

Code:
ps ax | grep 'fail2ban'
22915 ?        Sl     0:01 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -x
23015 pts/0    S+     0:00 grep fail2ban
Meme avec les start, stop, les ligne sont toujours en double dans 'iptables'. Mais si tu me dis que ce n'est pas grave ... passons ce probleme...

nowwhat
07/02/2014, 15h17
Pour les doubles:
fail2ban-pure-ftpd-xxxxxxx
Ok, j'ai compris.
C'est ça qui arrive quand fail2ban, quand il s'arrête d'exécuter, n'arrive pas a enlever les chaines.
A vérifier:
STOP fail2ban
FLUSH toutes tes regles.
START fail2ban
-> le règles
fail2ban-pure-ftpd-xxxxxxx
etc
Sont la ?
STOP fail2ban
-> le règles
fail2ban-pure-ftpd-xxxxxxx
etc
Les règles ne doivent PLUS être la.

répèté le start stop quelques fois.

Or, chez toi, ils sont encore présent ...

[edit: le fait que ces règles sont en double n'est pas "grave": mieux faut tester deux fois que zéro ]

(puis, va savoir si t'as réussi à lancer deux instances de fail2ban ......
test avec
ps ax | grep 'fail2ban'
pour en savoir plus)

C'est pareil que ton
WARNING [ssh] 94.23.183.123 already banned
chain2ban ajoute un règle - mais ce règle n'arrive a ajouter le règle.

D'ailleurs,
au lieu de montrer
WARNING [ssh] 94.23.183.123 already banned
il faut nous montres des 10 règles avant
et les 10 après
Comme ça:
Code:
2014-02-07 10:21:28,854 fail2ban.jail   : INFO   Jail 'apache-evil' uses poller
2014-02-07 10:21:28,856 fail2ban.filter : INFO   Set maxRetry = 3
2014-02-07 10:21:28,858 fail2ban.filter : INFO   Set findtime = 600
2014-02-07 10:21:28,859 fail2ban.actions: INFO   Set banTime = 60000
2014-02-07 10:21:28,887 fail2ban.jail   : INFO   Jail 'ssh' started
2014-02-07 10:21:28,910 fail2ban.jail   : INFO   Jail 'ssh-ddos' started
2014-02-07 10:21:28,925 fail2ban.jail   : INFO   Jail 'apache-noscript' started
2014-02-07 10:21:28,964 fail2ban.jail   : INFO   Jail 'apache-woot' started
2014-02-07 10:21:29,019 fail2ban.jail   : INFO   Jail 'apache-phpmyadmin' started
2014-02-07 10:21:29,071 fail2ban.jail   : INFO   Jail 'apache-clientdenied' started
2014-02-07 10:21:29,117 fail2ban.jail   : INFO   Jail 'apache-contact' started
2014-02-07 10:21:29,191 fail2ban.jail   : INFO   Jail 'pure-ftpd' started
2014-02-07 10:21:29,279 fail2ban.jail   : INFO   Jail 'postfix' started
2014-02-07 10:21:29,327 fail2ban.jail   : INFO   Jail 'courierauth' started
2014-02-07 10:21:29,411 fail2ban.jail   : INFO   Jail 'sasl' started
2014-02-07 10:21:29,517 fail2ban.jail   : INFO   Jail 'named-refused-udp' started
2014-02-07 10:21:29,606 fail2ban.jail   : INFO   Jail 'named-refused-tcp' started
2014-02-07 10:21:29,751 fail2ban.jail   : INFO   Jail 'ts3-query' started
2014-02-07 10:21:29,887 fail2ban.jail   : INFO   Jail 'apache-evil' started
2014-02-07 11:20:34,320 fail2ban.actions: WARNING [ssh] Ban 218.2.22.138
2014-02-07 11:49:14,933 fail2ban.actions: WARNING [ssh] Ban 42.112.16.118
2014-02-07 11:56:27,540 fail2ban.actions: WARNING [apache-woot] Ban 198.50.138.61
2014-02-07 12:17:05,564 fail2ban.actions: WARNING [apache-woot] Ban 198.50.161.15
2014-02-07 13:23:30,077 fail2ban.actions: WARNING [ssh] Ban 218.2.22.133
2014-02-07 13:39:20,942 fail2ban.actions: WARNING [ssh] Ban 93.95.105.170
2014-02-07 14:13:23,718 fail2ban.actions: WARNING [ssh] Ban 223.4.240.224
Donne beaucoup plus d'indices.

Peut tu nous montrer un log de fail2ban comme je t'ai montré plus haut
DES le démarrage de fail2ban jusqu'à environ 1 heure ?

édit: et en parallèle: le /var/log/auth.log

sbx59
07/02/2014, 14h50
Bon ... et bien sa recommance !

2014-02-07 12:46:59,900 fail2ban.actions: WARNING [ssh] 94.23.183.123 already banned


Mais cette IP est la seul a me faire des already banned ... !!

sbx59
07/02/2014, 12h18
Le souci semble etre résolu.

Il y a deux fois les chaines : http://pastebin.com/BkzXmRWZ

Je parler bien de notepas++ il y a quelque temps je fessais de la programmation avec.

nowwhat
07/02/2014, 12h10
Citation Envoyé par sbx59
Oui, j'ai effectué cette manip avec notepad
notepad n'est pas http://notepad-plus-plus.org/fr/
Le soucis fail2ban est résolu maintenant ?

Citation Envoyé par sbx59
Mais sinon pour les doublons de l'iptables, comment je peut faire pour les supprimés ?
Coment ça ?
Tu parle ou des doubles dans 'iptables' ?

sbx59
07/02/2014, 11h50
Oui, j'ai effectué cette manip avec notepad

Mais sinon pour les doublons de l'iptables, comment je peut faire pour les supprimés ?

nowwhat
07/02/2014, 11h44
Citation Envoyé par sbx59
Je vais donc supprimer tout ces espaces ... on vera bien
Traitement de text : au moins Notepad++ c'est le top.

Puis
Menu => Recherche > Remplace ....
remplace " " (5 espaces) pour "" (= rien) puis clique sur Remplace tout

extra: Sinon: le top UltraEdit + SmartFTP - on édit son serveur avec ça "comme à la maison" ^^

Citation Envoyé par sbx59
Pour le réseau MDE je ne c'est pas c'est un pote qui ma aider a le config et sur un tuto on nous conseiller de le mettre en bas ...
Vire-le.

Dans la section [DEFAULT] t'as déjà un
ignoreip = 46.218.167.43
qui est coté syntax au bon endroit.

On ne peut placer tout et n'importe quoi n’importe ou.
Le paramétrage n'est pas un affaire de "faire ce qu'on a envie de faire" mais "faire correctement"
File ce lien à ton pote http://www.fail2ban.org/wiki/index.php/Main_Page - il en a besoin (on en a tous).

Aussi:
man fail2ban-client

sbx59
07/02/2014, 11h33
Je vais donc supprimer tout ces espaces ... on vera bien,

Pour le réseau MDE je ne c'est pas c'est un pote qui ma aider a le config et sur un tuto on nous conseiller de le mettre en bas ...

Apres suppression des espace ... et la derniere ligne ... je n'ai plus d'erreur quand je lance fail2ban ...

Par contre : http://pastebin.com/BkzXmRWZ

Il y a du doublons ...

nowwhat
07/02/2014, 11h22
Ok, j'ai vu l'erreur.

Quand j'ai copié

Code:
    # Fail2Ban configuration file.
    #
    # This file was composed for Debian systems from the original one
    #  provided now under /usr/share/doc/fail2ban/examples/jail.conf
    #  for additional examples.
    #
    # To avoid merges during upgrades DO NOT MODIFY THIS FILE
    # and rather provide your changes in /etc/fail2ban/jail.local
    #
    # Author: Yaroslav O. Halchenko 
    #
    # $Revision$
    #
     
    # The DEFAULT allows a global definition of the options. They can be overridden
    # in each jail afterwards.
     
    [DEFAULT]
     
    # "ignoreip" can be an IP address, a CIDR mask or a DNS host
    ignoreip = 46.218.167.43
    ignoreip = 127.0.0.1/8
    bantime  = 604800
    findtime = 3600
    maxretry = 3
etc.
dans un jail.conf chez moi, j'ai eu le même erreur dès le démarrage.
Code:
file: /etc/fail2ban/jail.conf, line: 3
Il y avait deux lignes vide au début de mon fichier que j'ai copié à partir de pastebin.
Les sections [comme [DEAULT] etc) doivent commencer ou début de la ligne, or, toutes les lignes ont 5 espaces au début
J'ai enlevé toutes les espaces au début des toutes les lignes dans les deux fichiers et .... plus d'erreur.

Je ne sais pas si c'est lié au copié par pastebin que tout ces espaces sont pré-fixé mais ça rend caduc le fichier(s).

Par contre:
Jail.local : http://pastebin.com/WYhHtLSs
dernière ligne !!!!
Il fait quoi la, lui:
#Réseau MDE
ignoreip = 46.218.167.43

sans respecter : http://www.fail2ban.org/wiki/index.php/Whitelist ??? [ ]
"ignoreip " est quelque chose pour la section [DEAULT] - la t'es en dehors de [DEAULT]

sbx59
07/02/2014, 10h33
Sur un tuto, j'avais vu qu'il fallais crée un fichier local du jail.conf.

Donc je te joins ces deux fichiers qui sont dans /etc/fail2ban/

Jail.conf : http://pastebin.com/9xExuCXY
Jail.local : http://pastebin.com/WYhHtLSs

nowwhat
07/02/2014, 10h24
T'as pas le bon reflex.
TANT que tu retrouve avec des messages de ce genre:
Erreur après start montre un erreur dans le fichier blablablabla, ligne xx
Pas au lit.
Pas manger.
On ne quitte plus le clavier.

De plus, le problème n'est réelement résolu dès que t'as compris pourquoi un erreur s'affiche. ne t'arrête pas mi-chemin.

De plus, un erreur peut cacher un autre..
T'es en train de chercher pourquoi fail2ban ne ban pas (injecte pas les règles dans iptables == le "action") mais, c'est tout à fait possible que ton error on line 20 est l'origine de tout.

Règle de base: tant qu'un service démarre avec un "erreur" ce service doit être arrêté car son fonctionnement est indéfini.


OK, je reste en attente de ce fichier /etc/fail2ban/jail.conf - ou tu l'as corrigé déjà toit même ?

sbx59
07/02/2014, 10h16
Citation Envoyé par nowwhat
Si tu exécute un
service fail2ban stop
puis un
service fail2ban start
il t'affiche bien les erreurs que tu mentionné plus haut, non ? (j'ai cité l'extrait essentielle de ce que tu nous montre).

Erreur après start montre un erreur dans le fichier /etc/fail2ban/jail.conf, ligne 20
Oui c'est bien sa !


Cette nuit, il et passé 32 fois avant de se faire réelement bannir ... fiou c'est quoi le probleme ?

BBR
06/02/2014, 21h18
sbx59, lis ceci (la partie fail2ban), peut être pas complètement au top mais il y a le principal

nowwhat
06/02/2014, 20h56
Citation Envoyé par sbx59
Es ce que mon fail2ban est bien cfg ?

Je n'ai pas compris les quote que vous avez fait ...
Si tu exécute un
service fail2ban stop
puis un
service fail2ban start
il t'affiche bien les erreurs que tu mentionné plus haut, non ? (j'ai cité l'extrait essentielle de ce que tu nous montre).

Erreur après start montre un erreur dans le fichier /etc/fail2ban/jail.conf, ligne 20

sbx59
06/02/2014, 20h43
Je ne comprend plus,

Es ce que mon fail2ban est bien cfg ?

Je n'ai pas compris les quote que vous avez fait ...

sbx59
06/02/2014, 20h41
Citation Envoyé par sloomy
Re,

Question bête mais c'est quoi votre distrib ?

Bruno
J'ai deja repondu, je suis sous debian 7.

nowwhat
06/02/2014, 18h04
[QUOTE=sbx59;131546]#......

Il y aura tout un tat de stack crwaling, puis on arrive au soucis:
ConfigParser.MissingSectionHeaderError: File contains no section headers.
file: /etc/fail2ban/jail.conf, line: 20
'ignoreip = 46.218.167.43\n'
. ok

Il me semble que nous n'avons pas vu encore ce fichier /etc/fail2ban/jail.conf - à la ligne 20 fail2ban explose ..... "File contains no section headers"

Citation Envoyé par sbx59
#......
Depuis que j'ai fait un reload de fail2ban mon iptables a changer : http://pastebin.com/WwBJgrqW
Plus aucun trace de fail2ban, il te reste que tes propres règles.

sloomy
06/02/2014, 17h52
Re,

Question bête mais c'est quoi votre distrib ?

Bruno

sbx59
06/02/2014, 17h48
Citation Envoyé par sloomy
Bonjour,

Et en réinstallant fail2ban ? sait-on jamais.

Bruno
Hum sa va me faire du boulo ... comme je ne suis pas a l'aise sur linux ... C'est un pote qui m'a aider a le configurer.


Aussi avant j'avais la chaine : Chain fail2ban-apache-woot

Que je n'ai plus ...

sloomy
06/02/2014, 17h46
Bonjour,

Et en réinstallant fail2ban ? sait-on jamais.

Bruno

sbx59
06/02/2014, 17h42
Citation Envoyé par BBR
fail2ban-client -x start
(stop, restart selon le cas)
J'avais deja essayer cette solution BBR, mais elle n'a pas fonctionner, du coup j'ai fait un backup de mon iptable. Qui est revenu comme ya 5 min. ( donc on oublie ce pb et retour au ip bannis )



Chain fail2ban-ssh (1 references)
target prot opt source destination
DROP all -- 217.172.172.194 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0


Sayé j'ai un poisson !!

BBR
06/02/2014, 17h38
fail2ban-client -x start
(stop, restart selon le cas)

sbx59
06/02/2014, 17h13
Citation Envoyé par nowwhat
http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 parle de already banned .

fail2ban-client -V
donne quoi ?
OS ?
# fail2ban-client -V
Fail2Ban v0.8.6

Copyright (c) 2004-2008 Cyril Jaquier
Copyright of modifications held by their respective authors.
Licensed under the GNU General Public License v2 (GPL).

Written by Cyril Jaquier .
Many contributions by Yaroslav O. Halchenko .


Je suis sous debian 7.

Aussi quand je fait : /etc/init.d/fail2ban stop puis

/etc/init.d/fail2ban start
[....] Starting authentication failure monitor: fail2banTraceback (most recent call last):
File "/usr/bin/fail2ban-client", line 404, in
if client.start(sys.argv):
File "/usr/bin/fail2ban-client", line 373, in start
return self.__processCommand(args)
File "/usr/bin/fail2ban-client", line 183, in __processCommand
ret = self.__readConfig()
File "/usr/bin/fail2ban-client", line 377, in __readConfig
self.__configurator.readAll()
File "/usr/share/fail2ban/client/configurator.py", line 61, in readAll
self.__jails.read()
File "/usr/share/fail2ban/client/jailsreader.py", line 44, in read
ConfigReader.read(self, "jail")
File "/usr/share/fail2ban/client/configreader.py", line 62, in read
SafeConfigParserWithIncludes.read(self, [bConf, bLocal])
File "/usr/share/fail2ban/client/configparserinc.py", line 108, in read
fileNamesFull += SafeConfigParserWithIncludes.getIncludes(filename)
File "/usr/share/fail2ban/client/configparserinc.py", line 79, in getIncludes
parser.read(resource)
File "/usr/lib/python2.7/ConfigParser.py", line 305, in read
self._read(fp, filename)
File "/usr/lib/python2.7/ConfigParser.py", line 512, in _read
raise MissingSectionHeaderError(fpname, lineno, line)
ConfigParser.MissingSectionHeaderError: File contains no section headers.
file: /etc/fail2ban/jail.conf, line: 20
'ignoreip = 46.218.167.43\n'
. ok

Depuis que j'ai fait un reload de fail2ban mon iptables a changer : http://pastebin.com/WwBJgrqW

nowwhat
06/02/2014, 17h11
http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 parle de already banned .

fail2ban-client -V
donne quoi ?
OS ?

sbx59
06/02/2014, 16h52
J'ai que ces chaine la : http://pastebin.com/My3h94n2

Je n'avais pas fait attention,

j'avais aussi un jail.local : http://pastebin.com/zLaKYZjZ

nowwhat
06/02/2014, 16h42
Confirme stp que tu les a pas, ces chaines iptables:
fail2ban-pure-ftpd - fail2ban-proftpd tcp - fail2ban-vsftpd - fail2ban-apache-overflows - fail2ban-apache-noscript - fail2ban-apache-multiport - fail2ban-apache - fail2ban-ssh
Va voir ici de nouveau : http://pastebin.com/qCrCPX6m

Concernant http://pastebin.com/L5varqjH
Il me manque la section config de fail2ban - la, je retrouve que la partie "jails", avec comme partie important:
1.[ssh]
2.
3.enabled = true
4.port = ssh
5.filter = sshd
6.logpath = /var/log/auth.log
7.maxretry = 3
8.

Ce qui m'intéresse est aussi:
fail2ban-client status
et cette liste :
fail2ban-client -d

sbx59
06/02/2014, 16h01
Voici le fichier :

http://pastebin.com/L5varqjH

Et pourquoi celui qui tente d'acces n'est pas surpris ?

Toutes les IP qui sont dans mon 1er fichier sont des IP bannis par mes soins, et non pas fail2ban

nowwhat
06/02/2014, 15h46
Citation Envoyé par sbx59
Mais celle ci n'est pas listé.
Ok, compris.
Sache qu'il manque ces chaines chez toi:
fail2ban-pure-ftpd - fail2ban-proftpd tcp - fail2ban-vsftpd - fail2ban-apache-overflows - fail2ban-apache-noscript - fail2ban-apache-multiport - fail2ban-apache - fail2ban-ssh

Or, dès que fail2ban détecte un IP pour le jail SSH, il essaie d'ajouter un règle DRP dans la chaine
fail2ban-ssh
qui n'existe pas.
(bizarre - qu'il a du logger ça aussi)

Regarde ce que j'ai moi après avoir saisi le commande:
iptables -L -n
http://pastebin.com/qCrCPX6m
T'as vu la chaine "Chain fail2ban-sshd" ??

Il s'agit donc d'un soucis de paramétrage de fail2ban.

Liste ton fichier de config fail2ban (ici bien sur: http://pastebin.org

Citation Envoyé par sbx59
Donc comment j'injecte les regles ?
Noop.
C'est le but même de fail2ban - lisez bien "fail vers bannir" == il détecte la condition de fail (ça marche chez toi) puis, suivant ta demande, il exécute une action (normallement: bannir) et cette partie ne marche pas.
fail2ban est surpris.
Toi aussi.
Pas le type qui tante l'accès.

sbx59
06/02/2014, 15h12
Désoler, j'ai éditer juste avant ton commentaire.

Mais celle ci n'est pas listé. Donc comment j'injecte les regles ?

sloomy
06/02/2014, 15h10
Bonjour,

Et peut-être son fichier de règles iptables ? non ?

Bruno

nowwhat
06/02/2014, 15h08
Citation Envoyé par sbx59
Cela arrive que avec cette ip ... je ne comprend vraiment pas !
Moi non plus, par ce que je n'ai pas eu une réponse !!

iptables -L -n

L'IP est listé ..... => conclusion : soucis de parafeu ...
L'IP n'est pas listé .... => conclusion : fail2ban n'injecte pas les règles parafeu ....

Très logiqie tout ça n'est pas
Mais il me faut la réponse pour continuer.

sbx59
06/02/2014, 14h51
Voici :


iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 217.172.0.0/16 0.0.0.0/0
DROP all -- 217.172.172.194 0.0.0.0/0
DROP all -- 92.157.71.157 0.0.0.0/0
DROP all -- 177.230.82.3 0.0.0.0/0
DROP all -- 92.51.146.113 0.0.0.0/0
DROP all -- 187.243.92.211 0.0.0.0/0
DROP all -- 218.2.22.112 0.0.0.0/0
DROP all -- 186.23.40.27 0.0.0.0/0
DROP all -- 115.230.126.71 0.0.0.0/0
DROP all -- 61.160.215.208 0.0.0.0/0
DROP all -- 61.174.51.205 0.0.0.0/0
DROP all -- 217.169.223.79 0.0.0.0/0
DROP all -- 216.0.0.0/16 0.0.0.0/0
DROP all -- 216.0.0.0 0.0.0.0/0
DROP all -- 216.250.47.32 0.0.0.0/0
DROP all -- 92.243.165.51 0.0.0.0/0
DROP all -- 61.147.107.99 0.0.0.0/0
DROP all -- 92.243.165.51 0.0.0.0/0
DROP all -- 80.24.4.23 0.0.0.0/0
DROP all -- 176.31.242.150 0.0.0.0/0
DROP all -- 92.243.165.51 0.0.0.0/0
DROP all -- 200.0.0.0 0.0.0.0/0
DROP all -- 218.2.22.105 0.0.0.0/0
fail2ban-pure-ftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-proftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-vsftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989
fail2ban-apache-overflows tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache-noscript tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache-multiport tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-apache tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22


Et mon fichier log :

2014-02-05 09:59:18,137 fail2ban.actions: WARNING [ssh] Ban 217.172.172.194
2014-02-05 11:42:38,441 fail2ban.actions: WARNING [ssh] Unban 217.172.172.194
2014-02-05 12:04:01,999 fail2ban.actions: WARNING [ssh] Ban 94.23.183.123
2014-02-05 12:12:22,746 fail2ban.actions: WARNING [ssh] Ban 61.160.215.121
2014-02-05 13:47:22,559 fail2ban.actions: WARNING [ssh] Unban 94.23.183.123
2014-02-05 13:55:05,242 fail2ban.actions: WARNING [ssh] Ban 222.186.62.36
2014-02-05 13:55:43,384 fail2ban.actions: WARNING [ssh] Unban 61.160.215.121
2014-02-05 15:38:25,635 fail2ban.actions: WARNING [ssh] Unban 222.186.62.36
2014-02-05 19:13:23,645 fail2ban.actions: WARNING [ssh] Ban 94.23.183.123
2014-02-05 20:56:44,547 fail2ban.actions: WARNING [ssh] Unban 94.23.183.123
2014-02-05 21:00:32,663 fail2ban.actions: WARNING [ssh] Ban 222.186.62.16
2014-02-05 22:43:53,267 fail2ban.actions: WARNING [ssh] Unban 222.186.62.16
2014-02-06 02:59:03,646 fail2ban.actions: WARNING [ssh] Ban 94.23.183.123
2014-02-06 02:59:12,728 fail2ban.actions: WARNING [ssh] 94.23.183.123 already banned
2014-02-06 04:31:04,190 fail2ban.actions: WARNING [ssh] Ban 1.93.33.226
2014-02-06 04:42:24,020 fail2ban.actions: WARNING [ssh] Unban 94.23.183.123
2014-02-06 06:14:24,623 fail2ban.actions: WARNING [ssh] Unban 1.93.33.226
2014-02-06 08:28:20,197 fail2ban.actions: WARNING [ssh] Ban 188.165.239.73
2014-02-06 08:28:24,282 fail2ban.actions: WARNING [ssh] 188.165.239.73 already banned
2014-02-06 10:11:40,536 fail2ban.actions: WARNING [ssh] Unban 188.165.239.73
2014-02-06 11:26:07,808 fail2ban.actions: WARNING [ssh] Ban 94.23.183.123
2014-02-06 11:26:17,876 fail2ban.actions: WARNING [ssh] 94.23.183.123 already banned
2014-02-06 13:09:28,317 fail2ban.actions: WARNING [ssh] Unban 94.23.183.123

sbx59
06/02/2014, 14h51
Citation Envoyé par BBR
que le bantime soit à 7h ne l'empêche pas d'essayer, sauf qu'il se fait jeter.
et le nb de tentatives tu l'as mis à combien ? (maxretry), chez moi c'est 1 fois et dehors pour 15 jours
par contre mets bien ton ip dans ignore ip en cas de fausse manip ^^
Bantime : 7h
max retry 3 fois

nowwhat
06/02/2014, 13h38
Bonjour,

Il t'arrive l'impossible

T'as un "jail" nommé ssh qui a détecté qu'un IP a validé le filtrage: l'IP fait partie du jail est une "action" fait en sorte que cet IP sera bloqué pour x temps.
L'IP est ajouté à la liste interne de fail2ban ( /usr/share/fail2ban/server/banmanager.py - ligne 148 pour les amoureux).

Plus tard, après un nouveaux scan de fail2ban dans les logs, ce IP valide à nouveau une critère du filtrage de SSH.

fail2ban décecte que cet IP est déjà sur sa liste de ban - et l’action lié a du être exécuté. Cette action est normalement: ajouter une ligne dans un parafue pour que le IP ne passe plus.
Or, chez toi, l'IP passe.

Conclusion: fail2ban pense que l'IP est bloqué, mais il ne l'est pas ..... ce qui explique que fail2ban détecte encore de l'activité de cet IP après l'avoir bloqué.

T'as compris, ce simple message indique un brèche dans ta sécurité .... tu PENSE que fail2ban marche, mais il ne marche pas .....

Si iptables est ton parafue, et dès que t'as ce message
2014-02-06 08:28:24,282 fail2ban.actions: WARNING [ssh] 188.165.239.73 already banned
va voir tes règles iptables.
iptables -L -n

Constate que l'IP n'est pas présent !!
Ainsi que le message log est expliqué.

A toi de voir ce qui ce passe, pourquoi le règle n'est pas injecté dans ton parafeu.

BBR
06/02/2014, 12h24
Je ne comprend pas car mon ban-time est de sept heures ... et il reviens a la charge 5 min apres
que le bantime soit à 7h ne l'empêche pas d'essayer, sauf qu'il se fait jeter.
et le nb de tentatives tu l'as mis à combien ? (maxretry), chez moi c'est 1 fois et dehors pour 15 jours
par contre mets bien ton ip dans ignore ip en cas de fausse manip ^^

sloomy
06/02/2014, 12h16
Bonjour,

Mettre l'ip en hosts.deny ca aidera peut-être.

Bruno

sbx59
06/02/2014, 11h58
Citation Envoyé par BBR
ça veut dire qu'il a banni cette ip il y a par exemple 1 mn et cette ip revient à la charge mais comme par exemple le bantime est 3 mn, fail2ban te dit que l'ip est déjà bannie donc il ne fait rien de particulier, au bout de 3mn il va la débannir et si elle revient après il va la bannir de nouveau
Je ne comprend pas car mon ban-time est de sept heures ... et il reviens a la charge 5 min apres

BBR
06/02/2014, 11h24
ça veut dire qu'il a banni cette ip il y a par exemple 1 mn et cette ip revient à la charge mais comme par exemple le bantime est 3 mn, fail2ban te dit que l'ip est déjà bannie donc il ne fait rien de particulier, au bout de 3mn il va la débannir et si elle revient après il va la bannir de nouveau

sbx59
06/02/2014, 11h10
Bonjour,

Fail2ban me donne cette infos :

2014-02-06 08:28:24,282 fail2ban.actions: WARNING [ssh] 188.165.239.73 already banned

Pourquoi tu dit t'il sa ? j'ai aussi constaté que l'utilisateur change de port pour le brute force ssh, es pour cela ?