Bonjour,

J'ai un problème de sécurité avec mon fail2ban et une règle pure-ftpd (bref, c'est également valable pour toutes les autres règles).

La règle ou filtre fonctionne bien si les personnes se présentent avec une une adresses ip (normale) mais quand cela ressemble à une adresse de reverse DNS

129.227.41.59.broad.gz.gd.dynamic.163data.com.cn

fail2ban échou et n'arrive pas à stopper les hackers ...


un extrait de mon fichier /var/log/messages qui est consulté par le filtre pure-ftpd.conf

Apr 11 07:15:11 sd-2xxxx pure-ftpd: (?@129.227.41.59.broad.gz.gd.dynamic.163data.com.cn) [WARNING] Authentication failed for user [admin]

Fail2ban (qui est écrit en python) n'arrive pas à "résoudre" l'adresse 129.227.41.59.broad.gz.gd.dynamic.163data.com.cn 

et la réponse dans le fichier /var/log/fail2ban rassemble à ça:

2012-04-11 07:15:12,459 fail2ban.filter : WARNING Unable to find a corresponding IP address for 129.227.41.59.broad.gz.gd.dynamic.163data.com.cn

Un autre exemple: extrait de mon fichier /var/log/messages

Apr  9 19:24:51 sd-2xxxx pure-ftpd: (?@corporat201-245192006.sta.etb.net.co) [WARNING] Authentication failed for user [Administrator]

et dans le fichier /var/log/fail2ban je trouve le message

2012-04-09 19:24:52,038 fail2ban.filter : WARNING Unable to find a corresponding IP address for corporat201-245192006.sta.etb.net.co

Existe t'il, dans votre connaissance, un moyen pour bannir les adresses louches, celles qui se présentent d'office à mon serveur avec une adresse sous forme de reverse dns par exemple avec iptables?

Je tiens à rappeler le rôle de fail2ban est quand même d’arrêter (bannir temporairement / par défaut 10 minutes) ceux qui abusent en voulant s'introduire par le brutforcing.
Existe t'il éventuellement un moyen pour améliorer fail2ban pour bannir ceux avec un adresse ip sous forme de reverse dns ?

Merci d'avance pour votre aide.

Dernière modification par Didier100 (11 Apr 2012 15:52:24)