我试图在Fail2ban中创build一个failregex来查找这些行(和IP地址),但我不能写它。
我的日志行如下所示:
[Thu Sep 22 10:28:32.215159 2016] [:error] [pid 1616] [client 83.143.240.13:54895] FastCGI:server“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- bloggerger.com“stderr:PHP消息:WPlogin失败,用户名:admin,referer: http : //blogginger.com/wp-login.php
[Thu Sep 22 04:38:01.588441 2016] [:error] [pid 24937] [client 49.151.91.8:58121] FastCGI:server“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- bloggerger.com“stderr:PHP消息:WPlogin失败,用户名:admin,referer: http : //blogginger.com/wp-login.php
这是我在attack.conf中的failregex行:
failregex = [[]client <HOST>[]] WP login failed.* 但它不起作用。 没有任何匹配。
什么是正确的failregex线find这些日志行?
谢谢!
尝试
failregex = \[client <HOST>:\d+\] .* WP login failed
您可以使用fail2ban-regex实用程序来针对示例input文件testingfail2ban-regexexpression式。 这比用活动日志做这件事要快得多,也更容易。
尝试
failregex = [[]client <HOST>[]] .*WP login failed.*