# ISPconfig 3 und fail2ban



## ColossusCH (1. Mai 2009)

Hallo zusammen,
ich habe ein kleines Problem (Anfängerproblem?), um fail2ban für FTP Brute Force Attacken zu konfigurieren.

mit folgenen Sachen habe ich ein bisschen zu kämpfen (auszug aus "auth.log"):

_Apr 30 06:22:05 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de _
_Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown_
_Apr 30 06:22:22 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de _
_Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown_
_Apr 30 06:22:24 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de _
_Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown_
_Apr 30 06:22:31 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de _
_Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown_
_Apr 30 06:22:40 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0 tty=pure-ftpd ruser=Administrator rhost=mike177.server4you.de _
_Apr 30 06:22:53 www pure-ftpd: pam_unix_auth(pure-ftpd:auth): check pass; user unknown_

und dies ohne Ende.

Mein System ist Debian Lenny mit ISPconfig 3 (gemäss Anleitung von Falko (nochmals herzlichen Dank)).

Standartmässig ist fail2ban für SSH konfiguriert. Eine Anleitung zum aktivieren von pure-ftpd habe ich hier gefunden:
http://www.howtoforge.com/forums/showthread.php?t=13830

ich habe folgende sachen gemacht:
in der erstellten kopie von "jail.conf" - "jail.local"

```
[pureftpd]
 
enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/auth.log
 
maxretry = 3
```
dann mit folgendem Befehl eine Datei "pureftpd.conf" erstellt

```
vi filter.d/pureftpd.conf
```
und hier folgendes eingefügt:

```
[Definition]
failregex = pure-ftpd: \(pam_unix\) authentication failure; .* rhost=<HOST>
ignoreregex =
```
dann restart mit:

```
/etc/init.d/fail2ban restart
```
SSH wir geblockt aber für FTP hat dies keinen Effekt.

Ich habe auch die folgende einstellung für "pureftp.conf" probiert, hat jedoch auch nichts gebracht:

```
[Definition]
failregex = .*pure-ftpd: \(.*@<HOST>\) \[WARNING\] Authentication failed for user.*
ignoreregex =
```
weiterhin habe ich gelesen, dass für Debian Etch folgendes gemacht werden muss:

```
echo "yes" > /etc/pure-ftpd/conf/DontResolve
/etc/init.d/pure-ftpd-mysql restart
```
leider auch ohne Erfolg,
ich habe auch irgendwo gelesen, dass ich in der "jail.local" auf die "syslog" anstelle von der "auth.log" zugreifen soll (auch ohne effekt).

kann mir jemand weiterhelfen?

Im voraus herzlichen Dank.

PS.
eine Meldung aus dem fail2ban Log:
_2009-04-30 14:04:02,096 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de_
_2009-04-30 14:04:38,142 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de_
_2009-04-30 14:05:58,728 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de_
_2009-04-30 14:07:03,515 fail2ban.filter : WARNING Unable to find a corresponding IP address for mike177.server4you.de_

was bedeutet dies ????


Hier ein weiterer Auszug aus dem fail2ban log:

_2009-05-01 06:36:28,126 fail2ban.jail : INFO Creating new jail 'pureftpd'_
_2009-05-01 06:36:28,126 fail2ban.jail : INFO Jail 'pureftpd' uses poller_
_2009-05-01 06:36:28,220 fail2ban.filter : INFO Added logfile = /var/log/syslog_
_2009-05-01 06:36:28,221 fail2ban.filter : INFO Set maxRetry = 3_
_2009-05-01 06:36:28,228 fail2ban.filter : INFO Set findtime = 600_
_2009-05-01 06:36:28,229 fail2ban.actions: INFO Set banTime = 600_
_2009-05-01 06:36:28,239 fail2ban.jail : INFO Creating new jail 'ssh'_
_2009-05-01 06:36:28,239 fail2ban.jail : INFO Jail 'ssh' uses poller_
_2009-05-01 06:36:28,333 fail2ban.filter : INFO Added logfile = /var/log/auth.log_
_2009-05-01 06:36:28,337 fail2ban.filter : INFO Set maxRetry = 6_
_2009-05-01 06:36:28,338 fail2ban.filter : INFO Set findtime = 600_
_2009-05-01 06:36:28,339 fail2ban.actions: INFO Set banTime = 600_
_2009-05-01 06:36:28,532 fail2ban.jail : INFO Jail 'pureftpd' started_
_2009-05-01 06:36:28,540 fail2ban.jail : INFO Jail 'ssh' started_


----------



## Till (1. Mai 2009)

Stell bitte sicher dass es einen korrekten DNS A-Record für mike177.server4you.de gibt.


----------



## ColossusCH (1. Mai 2009)

Danke für die schnelle Antwort,
ich glaube, ich habe das Problem gefunden.

In der Serverkonfiguration von ISPconfig habe ich unter Nameserver die lokale IP (192.168.1.xx) angegeben, ist hier die IP eines offiziellen DNS-Servers anzugeben ????
in meinem Fall "ns1.mydyndns.org = 204.13.248.76" ???


----------



## Till (3. Mai 2009)

Ja, die IP dort muss von einem ofiziellen externen Nameserver sein, sonst kann Dein Server keine Domains auflösen.


----------



## PierreR32 (28. Juli 2011)

Sorry das ich den alten Thread nochmal auf greifen muss. 
Leider habe ich genau das selbe Problem und finde den Fehler nicht. 

Ich habe den Server mit Debian6 genau nach Howto aufgesetzt. 
Trotz allen versuchen lässt er keinen FTP User ins System. 
Leider bin ich am Ende mit meiner Weisheit und wüsste nicht wo ich noch nach einem Fehler suchen könnte. 

Kann mir einer Helfen ??

Gruss
Pierre


----------



## Till (28. Juli 2011)

Bist Du denn ganz sicher, dass es genau das selbe Problem ist? Hier geht es nämlich um das Gegenteil von dem was Du beschreibst, und zwar das User sich anmelden können obwohl sie eigentlich von Fail2ban wegen zu vieler Fehlversuche geblockt sein müssten.

Vielleicjht macsht Du haer besser einen neuen Thread auf und postest dort dann mal die Meldeungen die im Syslog beim fehlgeschlagenen Login erscheinen.


----------



## PierreR32 (28. Juli 2011)

Zitat von Till:


> Bist Du denn ganz sicher, dass es genau das selbe Problem ist? Hier geht es nämlich um das Gegenteil von dem was Du beschreibst, und zwar das User sich anmelden können obwohl sie eigentlich von Fail2ban wegen zu vieler Fehlversuche geblockt sein müssten.
> 
> Vielleicjht macsht Du haer besser einen neuen Thread auf und postest dort dann mal die Meldeungen die im Syslog beim fehlgeschlagenen Login erscheinen.


Stimmt. 
Ok danke.


----------

