我需要一些帮助来为failregex创建一个正则表达式,以便从此日志中找到并禁止源ip(例如SRC = 192.168.0.1并禁止IP 192.168.0.1):
[ATT]怀疑:IN = eth0 OUT = MAC = xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC = 192.168.0.1 DST = 192.168.0.100 LEN = 37 TOS = 0x00 PREC = 0x00 TTL = 13 ID = 56037 PROTO = TCP SPT = 21 DPT = 35 LEN = 60
fail2ban中的示例 定期表达
^%(__ prefix_line)sFailed(?:password | publickey)for。* from [HOST](?: port \ d *)?(?:ssh \ d *)?$
搜索:
8月5日11:11:11 igs sshd [28071]:无效用户的密码失败 用户名从192.168.0.100端口1234 ssh2
提前致谢
答案 0 :(得分:0)
/SRC=([0-9.]*)/
现在你的IP为1美元。
完全RE:
/^\[ATT\] Suspect: .*SRC=([0-9.]*).*$/