我正在尝试在 Fail2ban 中创建一个 failregex 来查找这些行(和 IP 地址),但我无法写入它。
我的日志行如下所示:
[2016 年 9 月 22 日星期四 10:28:32.215159] [:错误] [pid 1616] [客户端 83.143.240.13:54895] FastCGI:服务器“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com” stderr:PHP 消息:WP 登录失败,用户名:admin,引荐来源: http://blogginger.com/wp-login.php
[2016 年 9 月 22 日星期四 04:38:01.588441] [:错误] [pid 24937] [客户端 49.151.91.8:58121] FastCGI:服务器“/var/www/cgi-bin/php5-fcgi-104.236.209.45-80-blogginger.com” stderr:PHP 消息:WP 登录失败,用户名:admin,引荐来源: http://blogginger.com/wp-login.php
这是我在 attack.conf 中的 failregex 行:
failregex = [[]client <HOST>[]] WP login failed.*
但它不起作用。没有任何匹配。
查找这些日志行的正确 failregex 行是什么?
谢谢你!
答案1
尝试
failregex = \[client <HOST>:\d+\] .* WP login failed
您可以使用该fail2ban-regex
实用程序针对示例输入文件测试正则表达式。这比尝试使用实时日志执行此操作要快得多,也容易得多。
答案2
尝试
failregex = [[]client <HOST>[]] .*WP login failed.*