stefankittel
Goto Top

Hilfe mit regex bei fail2ban gesucht

Hallo,

ich suche Hilfe mit regex bei fail2ban.

Ja, nicht lachen. Ich kann immer noch kein regex.

Es geht um fail2ban bei einem haproxy.
der macht was er soll, aber es gibt auf dem Zielserver einen Bug, so dass in der Ausgabe immer ein Verweis auf /xxx/xxx/icon.png steht. Die clients versuchen die Datei zu laden, auf dem Server gibt es diese Datei nicht, also gibt es einen 404 Fehler.

Ich brauche also einen ignoreregex -Befehl um /*/icon.png als Ausnahme zu definieren und ich bekomme das nicht hin.

[Definition]
_daemon = haproxy
failregex = .*: <HOST>(?::\d+)?\s+.*\d* (403|404)
ignoreregex = .*: <HOST> - - .*GET .*/icon.png

Mag sich bitte Jemand erbarmen und mir diesen regex schreiben?

Danke

Strefan

Content-Key: 52834804354

Url: https://administrator.de/contentid/52834804354

Printed on: May 30, 2024 at 12:05 o'clock

Member: bloodstix
bloodstix Apr 18, 2024 at 15:23:38 (UTC)
Goto Top
Also der regex sieht eigentlich passabel aus. Ich hätte ihn vermutlich erstmal stark vereinfacht, ohne Vars für Host und so . ziemlich allgemein getestet.

Aber viel interessanter wäre doch wie man den "Bug" auf dem Zielserver beheben kann oder?
Member: StefanKittel
StefanKittel Apr 18, 2024 at 15:47:04 (UTC)
Goto Top
Zitat von @bloodstix:
Also der regex sieht eigentlich passabel aus. Ich hätte ihn vermutlich erstmal stark vereinfacht, ohne Vars für Host und so . ziemlich allgemein getestet.
Funktioniert aber nicht face-smile

Aber viel interessanter wäre doch wie man den "Bug" auf dem Zielserver beheben kann oder?
Die Software ist von einem externen Anbieter und die wollen sich in den nächsten Wochen darum kümmern.
Da ich die nächsten Wochen nicht täglich mehrere IPs entsperren möchte....
Member: bloodstix
bloodstix Apr 18, 2024 at 15:54:38 (UTC)
Goto Top
Ja funktioniert nicht ist schnell gesagt ^^ Wir versuchen hier ja nur zu helfen. Dafür sind Infos notwendig.

Ich denke es wäre vllt hilfreich wenn du mal ein Beispiel für nen String hast der durch das fail2ban gerasselt ist. Dann kann man mal den regex gegen den Verdächtigen prüfen.

Grüße
bloody
Member: aqui
aqui Apr 18, 2024 at 16:18:15 (UTC)
Goto Top
Member: TwistedAir
Solution TwistedAir Apr 18, 2024 at 19:20:12 (UTC)
Goto Top
Hallo,

und wenn du solange, bis der Bug behoben ist, an der Stelle eine Datei „icon.png“ erstellst? Dann kann die Anfrage bedient werden. Das brauch ja nur ein 1x1-Pixel zu sein, oder ein Link auf eine schon bestehende „icon.png“ auf dem Server…

Gruß
TA
Member: bloodstix
bloodstix Apr 18, 2024 updated at 19:26:10 (UTC)
Goto Top
Stimme zu wär ein "workaround" ... aber ich lös die Probleme lieber an der Wurtzel face-smile

Aber ich glaub der Server findet nix weil der schon komisch eingestellt ist.
Member: StefanKittel
StefanKittel Apr 18, 2024 at 20:08:19 (UTC)
Goto Top
Zitat von @bloodstix:
Ja funktioniert nicht ist schnell gesagt ^^ Wir versuchen hier ja nur zu helfen. Dafür sind Infos notwendig.
Ich denke es wäre vllt hilfreich wenn du mal ein Beispiel für nen String hast der durch das fail2ban gerasselt ist. Dann kann man mal den regex gegen den Verdächtigen prüfen.

face-smile
Der Regex-Teil funktioniert, aber Fail2ban ignoriert den Teil schlicht nicht.
Ich weiß halt nicht ob ignoreregex anders formatiert sein muss. Dazu gibt es kaum Beispiele.
Member: StefanKittel
StefanKittel Apr 18, 2024 at 20:10:34 (UTC)
Goto Top
Zitat von @TwistedAir:
und wenn du solange, bis der Bug behoben ist, an der Stelle eine Datei „icon.png“ erstellst? Dann kann die Anfrage bedient werden. Das brauch ja nur ein 1x1-Pixel zu sein, oder ein Link auf eine schon bestehende „icon.png“ auf dem Server…
Ich kann auf dem Server gar nichts machen.

Aber das brachte mich auf eine andere Idee.

Ich habe nun in HAProxy eine neue Regel (ACL) erstellt die diese Anfrage gar nicht erst zum Server schickt sondern sofort mit einem 503 beantwortet. 503 weil dieser Fehler im Proxy nicht konfiguriert ist weil der Server diesen Code nicht erzeugen kann.

Stefan