Как-то вы однозначны :D
Рекомендация конечно толковая, но судя по уровню знаний ТС его самого отстрелит CSF через полчаса работы с сервером :D Но штука мощная , спору нет. !---------- Добавлено 11.09.2013 в 22:58 ----------
Смена порта сама по себе ничего не даст, его просканят и будут брутить по любому порту, хоть 5555. Но если в совокупности с вашим советом что-то от скана использовать тогда может помочь.
Скажу честно, на всех серверах на SSH разные порты, стоит CSF.... Сканы ловит, но бруты бывают !!! Или кто-то из клиентов сливает, или скан происходит в несколько очередей с разных ИП по разным диапазонам.... стало быть через 2 дня сканов и 1000 забаненных ИП зловреды все таки узнают порт SSH ;) Ну а менять его раз в неделю тоже не айс :D
Если сервер приватный - т.е входить должны только вы, рекомендую FTP И SSH зарезать вообще по IP. Т.е разрешать только нужные (свои) ИП, остальные вообще в лес....
-Leon-, хороший хостер ))) который против брутфорса оборудование использует , а там заливка файлов не по отпечатку пальца случайно? ;))))
Даю еще раз ссылку, которую уже давал буквально сегодня:
https://onyx.net.ua/fail2ban_informaciya.php
Прочитайте внимательно что надо для того что бы все работало, если вы просто запустили fail2ban то он ничего не делает там... так как его еще надо настроить.
А те сообщения которые вы получаете на почту, генерирует вам не fail2ban А сам DirectAdmin и они являются следствием того, что fail2ban не работает а директадмин продолжает фиксировать попытки подбора пароля о чем вас и уведомляет.
Сегодня за аналогичное умудрился с просонья заработать 10$ , если готовы, давайте сделаю и вам, если не готовы, внимательно изучайте статью, там все описано.
Из Украины и Канады открывается в полной норме....
"Вагонка...."
И да, согласно вышеописанного сайта по блокировкам, данный сайт и его ИП не состоят в списке заблокированных, странно, тогда скорее всего проблема на стороне провайдера вашего клиента....
Очень долго и мучительно шли обсуждения на тему работы этого механизма, на сколько я понимаю провайдеры каким-то образом синхронизируют список заблокированных сайтов и ИП адресов, возможно этот сайт\ип был заблокирован но уже убран из реестра а провайдер еще не обновил эту информацию, либо ресурс заблокирован по желанию самого провайдера....
Ну и конечно же... не исключается тот момент что ваш "заказчик" просто "гонит туфту" , сайт у него работает, а платить не хочет..... это уже вам видней.
После доп. проверки через ping-admin.ru появились непонятные аномалии:
Вот результат: http://ping-admin.ru/free_test/result/13788998933j162v3107kvzw7mx64o1f.html
Аномалии заключаются в том, что часть регионов РФ при обращении по ссылке почему-то получает ответ весом 4 KB ... Хотя нормальный ответ составляет 23 KB, что вполне соответствует весу указанной страницы, стало быть таки могут быть какие-то приколы внутри РФ :)
Я же выше вам написал, скачайте тарбол, подложите конфиги.
А вообще сами бинарники установились? , не хватает только конфигов?
Перевожу почти что дословно написанное выше:
Стало быть вы можете попробовать! ))))
Что касается файлов, конечно же должны быть еще файлы, возможно причиной их отсутствия стала "не законченная" установка пакета Fail2ban.... Скачайте тарбол, подложите конфиги.
А папки action.d и filter.d содержат какие-то файлы?
Честно говоря не представляю причем там libxml к fail2ban :) Но видать надо :D
http://help.directadmin.com/item.php?id=372
Но главное обратите внимание на то, что пишут сами DA:
Так что может перестать что-то работать :D
VistaLeya, а для пущей верности, можно запостить ссылку сюда (если это не супер тайна) что бы её кто-то посмотрел из другого региона\страны, вполне может быть РосКомНадзор что-то залочил, надо проверить не из РФ...
Можно и так , тоже дельно, редко в [error] встречаются (SELECT|INSERT|UPDATE) :)---------- Добавлено 11.09.2013 в 07:44 ----------
[ssh-iptables] enabled = true filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com] logpath = /var/log/secure maxretry = 3
Статью поправил, за это отдельное спасибо, вам выслал информацию в ответ на лог. Все должно быть хорошо ;)
kgtu5, Ну во первых:
Это не отдельная строка а должно быть в Action, но надо ли это в вашем случае..... Я бы убрал.
Во вторых IP в екшонах должен заключаться в воот такие "<>" скобки, в моей ссылке там сноска есть.
Что касается фильтра... я так понимаю надо фильтровать "\xd0\x91\xd0\xb0\xd0\xb7\xd0\xb0" ?? Скиньте мне в приват или сюда, несколько строк лога (штук 5 вполне хватит) только КАК Есть.... можете конечно какие-то стратегические части замаскировать но не удаляйте их, мне четко понять надо как ваш лог выглядит что бы Regexp вам правильный собрать под него...
Если лог файл стандартный то попробуйте вот так:
Но это я про апач.... у вас nginx ... нужны логи .....
