Hallo liebe Ubuntu Gemeinde,
ich habe mir vor kurzem einen neuen Filter im "fail2ban/filter.d" angelegt weil ich immer mehr Script-Angriffe in meinen Apache Logs gefunden habe. Den Filter habe ich auf dieser Website gefunden: "http://blog.telpl.de/schutz-vor-morfeus-attacken-mit-fail2ban.html" Er soll die Nummern von 404-Verursachern sperren, wenn diese zu oft auftauchen.
Folgendes habe ich in den Dateien "/etc/fail2ban/jail.conf" und "/etc/fail2ban/jail.local" eingefügt:
[apache-404block] enabled = true port = http filter = apache-404block logpath = /var/log/apache2/access.log bantime = 3600 maxretry = 5
Danach habe ich die Datei "/etc/fail2ban/filter.d/apache-404block.conf" mit folgendem Inhalte erstellt:
[Definition] failregex = - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$ ignoreregex =
Leider produziert dieser Filter immer nach dem Restart von fail2ban folgenden Fehler im fail2ban.log:
2011-05-19 09:28:10,297 fail2ban.filter : ERROR No 'host' group in '- - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$'
Da ich nicht weiß, wo ich die "'host' group" in dem Filter-Befehl eintragen muss, wende ich mich jetzt an Euch.
Vielen Dank in Voraus,
Zooot.