Я пытаюсь создать failregex в Fail2ban, чтобы найти эти строки (и IP-адреса), но я не могу его написать.
Мои строки журнала выглядят так:
[Чт, 22 сентября, 10:28: 32.215159 2016] [: ошибка] [pid 1616] [клиент 83.143.240.13:54895] FastCGI: сервер "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- blogginger.com "stderr: сообщение PHP: не удалось войти в WP для имени пользователя: admin, referer: http://blogginger.com/wp-login.php
[22 сентября, четверг, 04:38: 01.588441 2016] [: ошибка] [pid 24937] [клиент 49.151.91.8:58121] FastCGI: сервер "/var/www/cgi-bin/php5-fcgi-104.236.209.45-80- blogginger.com "stderr: сообщение PHP: не удалось войти в WP для имени пользователя: admin, referer: http://blogginger.com/wp-login.php
И это моя строка failregex в attack.conf:
failregex = [[]client <HOST>[]] WP login failed.*
Но не работает. Нет ни одного совпадения.
Какая правильная строка failregex для поиска этих строк журнала?
Спасибо!
Пытаться
failregex = \[client <HOST>:\d+\] .* WP login failed
Вы можете использовать fail2ban-regex
утилита для проверки регулярных выражений на примерах входных файлов. Это намного быстрее и проще, чем пытаться сделать это с живыми журналами.
попробуйте с
failregex = [[]client <HOST>[]] .*WP login failed.*