Hello All,
I checked the process tree to see if any of the child processes were hanging up. I used pstree and this is what it says:

        |-e-calendar-fact---{e-calendar-fac}
        |-fail2ban-server---4*[{fail2ban-serve}]
        |-gam_server

The last banned event was on April 7 and the last thing written to syslog by fail2ban was:
Apr  8 03:33:10 neptune fail2ban.filter : INFO   Log rotation detected for /var/log/httpd/error_log
Apr  8 08:40:23 neptune fail2ban.actions: WARNING [ssh-iptables] Unban 200.111.67.93
Apr  8 14:00:49 neptune fail2ban.actions: WARNING [ssh-iptables] Unban 59.175.231.210

There seems to be a pattern to the fail2ban stoppages. Fail2ban stops on day X and the above lines are the last fail2ban events on day X+1. I think the http log rotation has something to do with the problem.

-Ali


On Sat, Mar 31, 2012 at 10:31 AM, Yaroslav Halchenko <lists@onerussian.com> wrote:
plase check if there are no hanging processes which did not
complete (e.g. by sendmail-whois)

Reference:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=410077


On Sat, 31 Mar 2012, Ali Ghorashi wrote:

>    Hello All,
>    I'm running fail2ban version 0.8.4-27 on fedora core 15. Occasionally my
>    fail2ban stops banning. A start-stop of the fail2ban service brings things
>    back to normal. There seems to be a 1-to-1 relationship between the hangs
>    and log rotations. For example every time there is message like
>    "fail2ban.filter : INFO�� Log rotation detected for
>    /var/log/httpd/error_log" in my /var/messages, banning stops.
>    I have a single active jail that monitors the apache-log and the hangs
>    were not happening before I added that rule. Here is its entry in
>    jail.conf

>    [apache-badpage]��������������������������������������������������������������������������������������
>    ������������������������������������������������������������������������������������������������������
>    enabled� =
>    true���������������������������������������������������������������������������������������
>    filter�� =
>    apache-bad-page����������������������������������������������������������������������������
>    action�� = iptables-multiport[name=badpage, port="http",
>    protocol=tcp]��������������������������������
>    ���������� sendmail-whois[name=badpage, dest=root,
>    sender=fail2ban@neptune.localdomain]���������������
>    logpath� =
>    /var/log/httpd/error_log�������������������������������������������������������������������
>    maxretry =
>    5������������������������������������������������������������������������������������������
>    findtime� =
>    60����������������������������������������������������������������������������������������
>    bantime� = 600

>    and the filter is:
>    [Definition]������������������������������������������������������������������������������������������
>    ������������������������������������������������������������������������������������������������������
>    # Option:�
>    failregex����������������������������������������������������������������������������������
>    # Notes.:� regex to match failures to find a home directory on a server,
>    which������������������������
>    #��������� became popular last days. Most often attacker just uses IP
>    instead of����������������������
>    #��������� domain name -- so expect to see them in generic error.log if
>    you have����������������������
>    #��������� per-domain log
>    files.����������������������������������������������������������������������
>    # Values:�
>    TEXT���������������������������������������������������������������������������������������
>    #�����������������������������������������������������������������������������������������������������
>    failregex = [[]client <HOST>[]] File does not
>    exist:��������������������������������������������������
>    ������������������������������������������������������������������������������������������������������
>    # Option:�
>    ignoreregex��������������������������������������������������������������������������������
>    # Notes.:� regex to ignore. If this regex matches, the line is
>    ignored.�������������������������������
>    # Values:�
>    TEXT���������������������������������������������������������������������������������������
>    #�����������������������������������������������������������������������������������������������������
>    ignoreregex =

>    Any ideas as to what may be the problem?
>    Thanks
--
=------------------------------------------------------------------=
Keep in touch                                     www.onerussian.com
Yaroslav Halchenko                 www.ohloh.net/accounts/yarikoptic

------------------------------------------------------------------------------
This SF email is sponsosred by:
Try Windows Azure free for 90 days Click Here
http://p.sf.net/sfu/sfd2d-msazure
_______________________________________________
Fail2ban-users mailing list
Fail2ban-users@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/fail2ban-users



--
-Ali
http://home.pcisys.net/~aghorash/