<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: garamond,new york,times,serif; font-size: 12pt; color: #000000'>Thanks Nick.<br><br><hr id="zwchr"><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;"><b>De: </b>"Nick Hilliard (INEX)" <nick@inex.ie><br><b>À: </b>"willy konga" <willy.konga@gabix.ga><br><b>Cc: </b>"INEX IXP Manager Users Mailing List" <ixpmanager@inex.ie><br><b>Envoyé: </b>Mercredi 29 Avril 2020 14:37:28<br><b>Objet: </b>Re: [ixpmanager] How protect IXPManager from exceed login or 404<br><br>willy.konga@gabix.ga wrote on 29/04/2020 11:33:<br>> Thanks. The ixpmanger generate his access | error log in the apache log <br>> directory. But the access log don't provide enough data to create a <br>> filter. So is it possible to modify the log system of IXPManger to <br>> generate more informations in the access log ?<br><br>Hi Willy<br><br>Each time someone logs in, you should see something in the access.log <br>file which looks like this:<br><br>> x.y.z.w - - [29/Apr/2020:14:06:41 +0100] "POST /ixp/login HTTP/1.0" 302 1297 "https://www.inex.ie/ixp/login" "Mozilla/5.0 (<deleted>) Gecko/20100101 <deleted>"<br><br>It should be sufficient to configure fail2ban to search for the <br>following line (assuming you're using https://ixp.gabix.ga/)<br><br>"POST /login HTTP/1.0" 302<br><br>If you see more than a certain threshold number of these entries in the <br>access.log file, then it means that someone is attempting to brute-force <br>a login attempt.<br><br>Nick<br><br></div><br><br><br>-- <br><div><span name="x"></span><img style="border: 0px;" src="cid:f8bd76e9b34bd445e55f092471eb912671da0269@zimbra" doc="Briefcase/Signature DT.PNG"><span name="x"></span><br></div></div></body></html>