bộ lọc FAIL2BAN. Bất kỳ bộ lọc nào cho sự xâm nhập này bằng máy quét tìm kiếm trên internet?

Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: đã thiết lập kết nối
   Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: master_notify: status 0
   Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: name_mask: resource
   Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: name_mask: software
   Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: kết nối từ scanner-05.ch1.censys-scanner.com[162.142.125.57]
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_list_match: scanner-05.ch1.censys-scanner.com: không khớp
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_list_match: 162.142.125.57: không khớp
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_hostname: smtpd_authorized_xforward_hosts: scanner-05.ch1.censys-scanner.com ~? 12>
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_hostaddr: smtpd_authorized_xforward_hosts: 162.142.125.57 ~? 127.0.0.0/8
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_hostname: smtpd_authorized_xforward_hosts: scanner-05.ch1.censys-scanner.com ~? [:>
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_hostaddr: smtpd_authorized_xforward_hosts: 162.142.125.57 ~? [::1]/128
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_list_match: scanner-05.ch1.censys-scanner.com: không khớp
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_list_match: 162.142.125.57: không khớp
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: smtp_stream_setup: maxtime=3600 enable_deadline=0
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_list_match: scanner-05.ch1.censys-scanner.com: không khớp
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: match_list_match: 162.142.125.57: không khớp
Ngày 19 tháng 1 22:49:00 smart-mahavira postfix/smtpd[670231]: auto_clnt_open: đã kết nối với private/anvil

đây là tất cả trên nhật ký hệ thống của tôi.

tôi không thấy bất kỳ bộ lọc nào trong fail2ban.

Làm cách nào để viết bộ lọc?

tôi đã viết một biểu thức chính quy để nắm bắt tất cả địa chỉ ip đó

đẩy (@matches,$&) while($search_contents =~ /$regex/gm);

Tiếp theo là tôi cần tìm cách tạo bộ lọc trong fail2ban

bạn có thể cho tôi tập tin đầy đủ như trong postfix.conf không?

 bạn có thể cho mình file full đc ko đây là postfix.conf ---> 
# Bộ lọc Fail2Ban cho các lần từ chối SMTP Postfix đã chọn
#
#

[BAO GỒM]

# Đọc các tiền tố phổ biến. Nếu có bất kỳ tùy chỉnh nào -- hãy đọc chúng từ
# chung.local
trước = common.conf

[Sự định nghĩa]

_daemon = postfix(-\w+)?/\w+(?:/smtp[ds])?
_port = (?::\d+)?

prefregex = ^%(__prefix_line)s<mdpr-<mode>> <F-CONTENT>.+</F-CONTENT>$

mdpr-normal = (?:NOQUEUE: reject:|lệnh không đúng cách sau \S+)
mdre-normal=^RCPT từ [^[]*\[<HOST>\]%(_port)s: 55[04] 5\.7\.1\s
            ^RCPT from [^[]*\[<HOST>\]%(_port)s: 45[04] 4\.7\.1 (?:Dịch vụ không khả dụng\b|Máy chủ máy khách bị từ chối: không thể tìm thấy (đảo ngược ) của bạn ?tên máy chủ\b)
            ^RCPT from [^[]*\[<HOST>\]%(_port)s: 450 4\.7\.1 (<[^>]*>)?: Lệnh helo bị từ chối: Không tìm thấy máy chủ\b
            ^EHLO from [^[]*\[<HOST>\]%(_port)s: 504 5\.5\.2 (<[^>]*>)?: Lệnh helo bị từ chối: cần tên máy chủ đủ điều kiện\ b
            ^VRFY từ [^[]*\[<HOST>\]%(_port)s: 550 5\.1\.1\s
            ^RCPT from [^[]*\[<HOST>\]%(_port)s: 450 4\.1\.8 (<[^>]*>)?: Địa chỉ người gửi bị từ chối: Không tìm thấy miền\b
            ^từ [^[]*\[<HOST>\]%(_port)s:?

mdpr-auth = cảnh báo:
mdre-auth = ^[^[]*\[<HOST>\]%(_port)s: xác thực SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) thất bại:(?! Kết nối bị mất máy chủ xác thực | Cơ chế xác thực không hợp lệ)
mdre-auth2= ^[^[]*\[<HOST>\]%(_port)s: Xác thực SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) không thành công:(?! Kết nối bị mất máy chủ xác thực)
# việc cần làm: kiểm tra/xóa "Cơ chế xác thực không hợp lệ" khỏi danh sách bỏ qua, nếu gh-1243 sẽ hoàn tất (xem gh-1297).

# Chế độ "rbl" hiện được bao gồm trong chế độ "bình thường", nhưng nếu cần chỉ dành cho "postfix-rbl" trong tù:
mdpr-rbl = %(mdpr-bình thường)s
mdre-rbl = ^RCPT from [^[]*\[<HOST>\]%(_port)s: [45]54 [45]\.7\.1 Dịch vụ không khả dụng; Máy khách \[\S+\] bị chặn\b

# Chế độ "rbl" hiện được bao gồm trong chế độ "bình thường" (trong quy tắc thứ nhất)
mdpr-more = %(mdpr-normal)s
mdre-more = %(mdre-normal)s

mdpr-ddos = mất kết nối sau (?! DATA) [A-Z]+
mdre-ddos = ^from [^[]*\[<HOST>\]%(_port)s:?

mdpr-thêm = (?:%(mdpr-auth)s|%(mdpr-bình thường)s)
mdre-thêm = %(mdre-auth)s
            %(mdre-bình thường)s

mdpr-aggressive = (?:%(mdpr-auth)s|%(mdpr-normal)s|%(mdpr-ddos)s)
mdre-aggressive = %(mdre-auth2)s
                  %(mdre-bình thường)s

mdre-scanner=(?<=match: )(.*)(?=: không khớp)
mdpr-scanner=(?<=match: )(.*)(?=: không khớp)

failregex = <mdre-<mode>>

# Tham số "chế độ": nhiều hơn (mặc định kết hợp bình thường và rbl), auth, bình thường, rbl, ddos, thêm hoặc tích cực (kết hợp tất cả)
# Ví dụ về cách sử dụng (đối với Jail.local):
# [hậu tố]
# chế độ = tích cực
# # hoặc một nhà tù khác (viết lại các tham số bộ lọc của nhà tù):
# [hậu tố-rbl]
# bộ lọc = postfix[mode=rbl]
#
chế độ = nhiều hơn

bỏ quaregex =

[Trong đó]

tạp chímatch = _SYSTEMD_UNIT=postfix.service

# Tác giả: Cyril Jaquier

Kỳ dị. Tôi đã tìm thấy bộ lọc postfix_sasl trong mediatemple chứ không phải trong amazon lightsail postfix.

Postfix_sasl đó hoạt động khi lỗi Sasl.

Bây giờ tôi cần sử dụng nó phù hợp với lỗi trận đấu này. Ai đang cố đăng nhập vào máy chủ của tôi và làm cách nào họ có được địa chỉ IP của tôi? Plesk có đưa chúng ra hoặc mxlookup không (tôi đã từng kiểm tra email đang hoạt động).

đây là postfix-sasl.conf ai đó có thể giải thích từng dòng? và làm cách nào để sử dụng nó để khắc phục lỗi đăng nhập Không khớp

# Bộ lọc Fail2Ban cho các lỗi xác thực postfix
#


[BAO GỒM]

trước = common.conf

[Sự định nghĩa]

_daemon = postfix(-\w+)?/(?:submission/|smtps/)?smtp[ds]

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) xác thực không thành công(:[ A-Za-z0-9+/:]*={0,2})?\s*$

bỏ quaregex = xác thực không thành công: Mất kết nối với máy chủ xác thực$

[Trong đó]

tạp chímatch = _SYSTEMD_UNIT=postfix.service


# Tác giả: Yaroslav Halchenko


nhập mã vào đây

tôi đã nhận được điều này nhưng tôi không thấy fail2ban bất kỳ ip nào sử dụng không phù hợp. fail2ban-regex -v /var/log/maillog /etc/fail2ban/filter.d/nomatch

chạy thử nghiệm
=============

Sử dụng tệp bộ lọc failregex: nomatch, basedir: /etc/fail2ban
Sử dụng datepattern: Trình phát hiện mặc định
Sử dụng tệp nhật ký: /var/log/maillog
Sử dụng mã hóa: UTF-8


Kết quả
=======

Failregex: tổng cộng 100
|- #) [# lần truy cập] biểu thức chính quy
| 1) [81] ^match_list_match: <ADDR>: <F-NOFAIL>không khớp</F-NOFAIL>
| 152.32.131.196 Thứ Sáu, ngày 21 tháng 1 06:52:15 2022
| 152.32.131.196 Thứ Sáu, ngày 21 tháng 1 06:52:15 2022
| 152.32.131.196 Thứ Sáu, ngày 21 tháng 1 06:52:15 2022
| 152.32.131.196 Thứ Sáu, ngày 21 tháng 1 06:52:15 2022
| 152.32.131.196 Thứ Sáu, ngày 21 tháng 1 06:52:16 2022
| 45.33.78.63 Thứ Sáu, ngày 21 tháng 1 07:01:15 2022
| 45.33.78.63 Thứ Sáu, ngày 21 tháng 1 07:01:15 2022
| 45.33.78.63 Thứ Sáu, ngày 21 tháng 1 07:01:17 2022
| 139.162.99.243 Thứ Sáu, ngày 21 tháng 1 08:19:03 2022
| 139.162.99.243 Thứ Sáu, ngày 21 tháng 1 08:19:03 2022
| 139.162.99.243 Thứ Sáu, ngày 21 tháng 1 08:19:03 2022
| 139.162.99.243 Thứ Sáu, ngày 21 tháng 1 08:19:03 2022
| 162.142.125.41 Thứ Sáu, ngày 21 tháng 1 08:48:58 2022
| 162.142.125.41 Thứ Sáu, ngày 21 tháng 1 08:48:58 2022
| 162.142.125.41 Thứ Sáu, ngày 21 tháng 1 08:48:58 2022
| 162.142.125.41 Thứ Sáu, ngày 21 tháng 1 08:48:58 2022
| 162.142.125.41 Thứ Sáu, ngày 21 tháng 1 08:48:58 2022
| 45.56.101.55 Thứ sáu ngày 21 tháng 1 10:13:22 2022
| 45.56.101.55 Thứ sáu ngày 21 tháng 1 10:13:22 2022
| 45.56.101.55 Thứ sáu ngày 21 tháng 1 10:13:22 2022
| 45.56.101.55 Thứ sáu ngày 21 tháng 1 10:13:22 2022
| 45.56.101.55 Thứ sáu ngày 21 tháng 1 10:13:22 2022
| 162.142.125.42 Thứ Sáu, ngày 21 tháng 1, 10:31:18, 2022
| 162.142.125.42 Thứ Sáu, ngày 21 tháng 1, 10:31:18, 2022
| 162.142.125.42 Thứ Sáu, ngày 21 tháng 1, 10:31:19, 2022
| 162.142.125.42 Thứ Sáu, ngày 21 tháng 1, 10:31:19, 2022
| 162.142.125.42 Thứ Sáu, ngày 21 tháng 1, 10:31:19, 2022
| 45.79.158.51 Thứ Sáu, ngày 21 tháng 1, 11:02:09, 2022
| 45.79.158.51 Thứ Sáu, ngày 21 tháng 1, 11:02:09, 2022
| 45.79.158.51 Thứ Sáu, ngày 21 tháng 1, 11:02:11, 2022
| 104.206.128.26 Thứ Sáu, ngày 21 tháng 1 12:07:17 2022
| 104.206.128.26 Thứ Sáu, ngày 21 tháng 1 12:07:17 2022
| 104.206.128.26 Thứ Sáu, ngày 21 tháng 1 12:07:17 2022
| 45.33.95.172 Thứ sáu ngày 21 tháng 1 12:15:12 2022
| 45.33.95.172 Thứ sáu ngày 21 tháng 1 12:15:12 2022
| 45.33.95.172 Thứ sáu ngày 21 tháng 1 12:15:12 2022
| 45.33.95.172 Thứ sáu ngày 21 tháng 1 12:15:12 2022
| 45.33.95.172 Thứ sáu ngày 21 tháng 1 12:15:12 2022
| 192.241.219.199 Thứ Sáu, ngày 21 tháng 1, 13:24:46, 2022
| 192.241.219.199 Thứ Sáu, ngày 21 tháng 1, 13:24:46, 2022
| 192.241.219.199 Thứ Sáu, ngày 21 tháng 1, 13:24:46, 2022
| 45.79.178.163 Thứ Sáu, ngày 21 tháng 1, 14:13:30, 2022
| 45.79.178.163 Thứ Sáu, ngày 21 tháng 1, 14:13:30, 2022
| 45.79.178.163 Thứ Sáu, ngày 21 tháng 1, 14:13:30, 2022
| 45.79.178.163 Thứ Sáu, ngày 21 tháng 1, 14:13:30, 2022
| 45.79.178.163 Thứ Sáu, ngày 21 tháng 1, 14:13:30, 2022
| 96.126.109.15 Thứ Sáu, ngày 21 tháng 1, 16:13:44, 2022
| 96.126.109.15 Thứ Sáu, ngày 21 tháng 1, 16:13:44, 2022
| 96.126.109.15 Thứ Sáu, ngày 21 tháng 1, 16:13:44, 2022
| 96.126.109.15 Thứ Sáu, ngày 21 tháng 1, 16:13:44, 2022
| 96.126.109.15 Thứ Sáu, ngày 21 tháng 1, 16:13:44, 2022
| 66.240.236.116 Thứ sáu ngày 21 tháng 1 17:29:42 2022
| 66.240.236.116 Thứ sáu ngày 21 tháng 1 17:29:42 2022
| 66.240.236.116 Thứ sáu ngày 21 tháng 1 17:29:42 2022
| 66.240.236.116 Thứ sáu ngày 21 tháng 1 17:29:43 2022
| 69.164.210.216 Thứ Sáu, ngày 21 tháng 1, 18:13:10, 2022
| 69.164.210.216 Thứ Sáu, ngày 21 tháng 1, 18:13:10, 2022
| 69.164.210.216 Thứ Sáu, ngày 21 tháng 1, 18:13:10, 2022
| 69.164.210.216 Thứ Sáu, ngày 21 tháng 1, 18:13:10, 2022
| 69.164.210.216 Thứ Sáu, ngày 21 tháng 1, 18:13:10, 2022
| 164.90.197.27 Thứ Sáu, ngày 21 tháng 1, 19:06:22, 2022
| 164.90.197.27 Thứ Sáu, ngày 21 tháng 1, 19:06:22, 2022
| 164.90.197.27 Thứ Sáu, ngày 21 tháng 1, 19:06:22, 2022
| 164.90.197.27 Thứ sáu 21 tháng 1 19:06:52 2022
| 45.56.99.23 Thứ sáu ngày 21 tháng 1 20:14:25 2022
| 45.56.99.23 Thứ sáu ngày 21 tháng 1 20:14:25 2022
| 45.56.99.23 Thứ sáu ngày 21 tháng 1 20:14:25 2022
| 45.56.99.23 Thứ sáu ngày 21 tháng 1 20:14:25 2022
| 45.56.99.23 Thứ sáu ngày 21 tháng 1 20:14:25 2022
| 178.79.189.233 Thứ sáu 21 tháng 1 20:22:36 2022
| 178.79.189.233 Thứ sáu 21 tháng 1 20:22:36 2022
| 178.79.189.233 Thứ sáu 21 tháng 1 20:22:36 2022
| 178.79.189.233 Thứ sáu 21 tháng 1 20:22:38 2022
| 162.142.125.44 Thứ Sáu, ngày 21 tháng 1, 20:29:10, 2022
| 162.142.125.44 Thứ Sáu, ngày 21 tháng 1, 20:29:10, 2022
| 162.142.125.44 Thứ Sáu, ngày 21 tháng 1, 20:29:10, 2022
| 162.142.125.44 Thứ Sáu, ngày 21 tháng 1, 20:29:10, 2022
| 162.142.125.44 Thứ Sáu, ngày 21 tháng 1, 20:29:10, 2022
| 45.56.104.184 Thứ sáu ngày 21 tháng 1 21:00:33 2022
| 45.56.104.184 Thứ sáu ngày 21 tháng 1 21:00:33 2022
| 45.56.104.184 Thứ sáu ngày 21 tháng 1 21:00:35 2022
| 2) [19] ^auto_clnt_open: kết nối với private/anvil
| 152.32.131.196 Thứ Sáu, ngày 21 tháng 1 06:52:15 2022
| 45.33.78.63 Thứ Sáu, ngày 21 tháng 1 07:01:17 2022
| 139.162.99.243 Thứ Sáu, ngày 21 tháng 1 08:19:03 2022
| 162.142.125.41 Thứ Sáu, ngày 21 tháng 1 08:48:58 2022
| 45.56.101.55 Thứ sáu ngày 21 tháng 1 10:13:22 2022
| 162.142.125.42 Thứ Sáu, ngày 21 tháng 1, 10:31:19, 2022
| 45.79.158.51 Thứ Sáu, ngày 21 tháng 1, 11:02:11, 2022
| 104.206.128.26 Thứ Sáu, ngày 21 tháng 1 12:07:17 2022
| 45.33.95.172 Thứ sáu ngày 21 tháng 1 12:15:12 2022
| 192.241.219.199 Thứ Sáu, ngày 21 tháng 1, 13:24:46, 2022
| 45.79.178.163 Thứ Sáu, ngày 21 tháng 1, 14:13:30, 2022
| 96.126.109.15 Thứ Sáu, ngày 21 tháng 1, 16:13:44, 2022
| 66.240.236.116 Thứ sáu ngày 21 tháng 1 17:29:42 2022
| 69.164.210.216 Thứ Sáu, ngày 21 tháng 1, 18:13:10, 2022
| 164.90.197.27 Thứ Sáu, ngày 21 tháng 1, 19:06:22, 2022
| 45.56.99.23 Thứ sáu ngày 21 tháng 1 20:14:25 2022
| 178.79.189.233 Thứ sáu 21 tháng 1 20:22:36 2022
| 162.142.125.44 Thứ Sáu, ngày 21 tháng 1, 20:29:10, 2022
| 45.56.104.184 Thứ sáu ngày 21 tháng 1 21:00:35 2022
`-

Bỏ qua regex: tổng cộng 0

Số lần truy cập mẫu ngày:
|- [# lần truy cập] định dạng ngày
| [3923] {^LN-BEG}(?:DAY )?MON Ngày %k:Phút:Giây(?:\.Micro giây)?(?: ExYear)?
| [0] {^LN-BEG}Năm cũ(?P<_sep>[-/.])Tháng(?P=_sep)Ngày(?:T| ?)24 giờ:Phút:Giây(?:[.,]Micro giây )?(?:\s*Zone offset)?
| [0] {^LN-BEG}(?:DAY )?MON Day ExYear %k:Minute:Second(?:\.Micro giây)?
| [0] {^LN-BEG}Ngày(?P<_sep>[-/])Tháng(?P=_sep)(?:ExYear|ExYear2) %k:Phút:Giây
| [0] {^LN-BEG}Ngày(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24giờ:Phút:Giây(?:\.Micro giây)?(?: Vùng bù lại)?
| [0] {^LN-BEG}Tháng/Ngày/Năm cũ:24 giờ:Phút:Giây
| [0] {^LN-BEG}Tháng-Ngày-ExYear %k:Phút:Giây(?:\.Micro giây)?
| [0] {^LN-BEG}Kỷ nguyên
| [0] {^LN-BEG}ExYear2ExMonthExDay ?24 giờ:Phút:Giây
| [0] {^LN-BEG}THỨ 2 Ngày, Năm cũ 12 giờ:Phút:AMPM thứ hai
| [0] {^LN-BEG}ExYearExMonthExDay(?:T| ?)Ex24hourExMinuteExSecond(?:[.,]Micro giây)?(?:\s*Bù vùng)?
| [0] {^LN-BEG}(?:Tên vùng )?(?:DAY )?MON Ngày %k:Phút:Giây(?:\.Micro giây)?(?: ExYear)?
| [0] {^LN-BEG}(?:Bù vùng )?(?:DAY )?MON Ngày %k:Phút:Giây(?:\.Micro giây)?(?: ExYear)?
| [0] {^LN-BEG}TAI64N
| [0] {^LN-BEG}24 giờ:Phút:Giây
| [0] ^<Tháng/Ngày/ExYear2@24giờ:Phút:Giây>
| [0] ^MON-Day-ExYear2 %k:Phút:Giây
`-

Dòng: 3923 dòng, 0 bị bỏ qua, 100 khớp, 3823 bị bỏ lỡ
[được xử lý trong 0,25 giây]

(Các) dòng bị thiếu: quá nhiều để in. Sử dụng --print-all-missed để in tất cả 3823 dòng

nhập mô tả hình ảnh ở đây

Có tài liệu chính thức Phát triển bộ lọc. Ngoài ra còn có nhiều bộ lọc bao gồm trong /etc/fail2ban/filter.d/

Thông thường, bộ lọc hậu tố với chế độ xâm lược được dự định để tìm máy quét như vậy:

[hậu tố]
chế độ = tích cực

Làm thế nào để kiểm tra nó với fail2ban-regex:

fail2ban-regex /path/to/log_or_systemd-journal postfix[logtype=short,mode=aggressive]

Nhưng tôi không thấy bất kỳ tin nhắn nào phù hợp với e. g. với một số lỗi hoặc khi kết nối bị từ chối. Hơn thế nữa auto_clnt_open: kết nối với private/anvil cho chúng tôi biết rằng nó đã được kết nối (mặc dù đối với đe, trình nền giới hạn tốc độ của hậu tố là gì, nhưng dù sao đi nữa).
Vì vậy, có một số tin nhắn khác ở cuối (từ phiên này [670231])?
Hoặc chính xác những gì bạn muốn xem xét ở đây là một thất bại?

Nếu bạn có nghĩa là nó phải phản ứng trên không có trận đấu tin nhắn, đây là bộ lọc của bạn:

[Sự định nghĩa]

failregex = ^\s*\S+ postfix/smtpd\[[^\]]+]: match_list_match: <ADDR>: không khớp

Chỉ nhật ký dường như chứa một số mục với không có trận đấu bởi một "phiên", do đó, nó sẽ gây ra nhiều lỗi cho mỗi lần thử (chính xác là 3 trong trường hợp này), vì vậy bạn phải tăng thử nghiệm tối đa có thể.

Khi nó phải là khá kết nối với tư nhân/đe, của bạn đây (điều này phải hoạt động với fail2ban >= 0.10):

[Sự định nghĩa]

prefregex = ^\s*\S+ postfix/smtpd\[<F-MLFID>[^\]]+</F-MLFID>\]: <F-CONTENT>(?:match_list_match|auto_clnt_open).+</F -NỘI DUNG>$

failregex = ^match_list_match: <ADDR>: <F-NOFAIL>không khớp</F-NOFAIL>
            ^auto_clnt_open: kết nối với private/anvil