scheinbar überprüft fail2ban die Log auth nach einträgen und nicht nach Fehlern, sprich wie oft ist die IP vorhanden.
Wenn ich eine Vervindung mit einem FTP- Client aufbaue wird z.B. jedes mal wenn ich z.B. ein Verzeichniss wechsle eine Verbindung aufgebaut und ein Eintrag in die auth.log
Nach 6 Einträgen macht fail2ban zu und sperrt die IP.
Hab noch was festgestellt:
in der auth.log es ist immer ein Eintrag als Anonymous und dann erst al user, kann es sein das er die Anonymous Einträge als aAngriff deutet???
Hier die auth.log (111.111.111.111 = Server IP, 222.222.222.222 = Client IP, user@domain.tls = FTP- User):
Jan 8 19:09:28 www proftpd[14568]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER anonymous: no such user found from 222.222.222.222 [222.222.222.222] to ::ffff:111.111.111.111
Jan 8 19:09:46 www proftpd[14570]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER user@domain.tld: Login successful.
Jan 8 19:13:12 www proftpd[14574]: 111.111.111.111 (188.118.240.75[222.222.222.222]) - USER anonymous: no such user found from 222.222.222.222 [222.222.222.222] to ::ffff:111.111.111.111
Jan 8 19:13:12 www proftpd[14576]: 111.111.111.111(222.222.222.222[222.222.222.222]) - USER user@domain.tld: Login successful.
Jan 8 19:13:16 www proftpd[14578]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER anonymous: no such user found from 222.222.222.222 [222.222.222.222] to ::ffff:111.111.111.111
Jan 8 19:13:16 www proftpd[14580]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER user@domain.tld: Login successful.
Jan 8 19:25:38 www proftpd[14587]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER anonymous: no such user found from 222.222.222.222 [222.222.222.222] to ::ffff:111.111.111.111
Jan 8 19:25:38 www proftpd[14589]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER user@domain.tld: Login successful.
Jan 8 19:25:44 www proftpd[14591]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER anonymous: no such user found from 222.222.222.222 [222.222.222.222] to ::ffff:111.111.111.111
Jan 8 19:25:44 www proftpd[14593]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER user@domain.tld: Login successful.
Jan 8 19:25:46 www proftpd[14595]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER anonymous: no such user found from 222.222.222.222[222.222.222.222] to ::ffff:111.111.111.111
Jan 8 19:25:47 www proftpd[14597]: 111.111.111.111 (222.222.222.222[222.222.222.222]) - USER user@domain.tld: Login successful.
Das kann sein. Ist bei mir aber nicht so. Vermute das das aber eher ein Client Problem ist.
Ok versuche es mal mit einem anderen, für den test hab ich die FTP Verbindung nur über den Browser geöffnet.
Sorry lag daran mit FTP Programm geht es liegt daran wenn man es nur mit dem Browser probiert!!!