Разбор лога, помогите советом.

Программирование на sh, быть может немного про альтернативные языки
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
TeXNiC
мл. сержант
Сообщения: 97
Зарегистрирован: 2007-02-06 12:17:35

Разбор лога, помогите советом.

Непрочитанное сообщение TeXNiC » 2008-10-01 11:12:33

Недавно заметил что в auth.log есть записи о переборе пароля и лгина к proftpd.

Код: Выделить всё

Sep 30 04:28:29 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - USER Administrator (Login failed): Incorrect password.
Sep 30 04:28:37 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - USER Administrator (Login failed): Incorrect password.
Sep 30 04:28:37 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - USER Administrator (Login failed): Incorrect password.
Sep 30 04:28:37 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - Maximum login attempts (3) exceeded, connection refused
Прочитал стаью http://www.lissyara.su/?id=1069 идея понравилась, вот только неполучается плучить адрес злоумышленника
Для теста использую скрипт

Код: Выделить всё

#!/bin/sh
cat /var/log/auth.log | grep failed | awk '{print $7}' | sort | uniq -c  | sort
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
then
echo "IP address  = ${IP}      deny count =    ${count_deny}"
#/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
Получаю только (85.15.207.111[85.15.207.111]) и количество попыток, как достать адрес. Помогите с скриптом.
Я только постигаю премудрости shell-а поэтому не пинайте сильно.
У меня не кривые руки, я просто пока еще мало знаю.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Разбор лога, помогите советом.

Непрочитанное сообщение zg » 2008-10-01 11:36:40

Код: Выделить всё

zg# echo '85.15.207.111[85.15.207.111]' | grep -Eo '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | uniq
85.15.207.111
zg# 
но есть специализированные утилиты для борьбы с перебором

Аватара пользователя
TeXNiC
мл. сержант
Сообщения: 97
Зарегистрирован: 2007-02-06 12:17:35

Re: Разбор лога, помогите советом.

Непрочитанное сообщение TeXNiC » 2008-10-01 12:13:31

zg писал(а):

Код: Выделить всё

zg# echo '85.15.207.111[85.15.207.111]' | grep -Eo '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | uniq
85.15.207.111
zg# 
Спасибо заработало !
но есть специализированные утилиты для борьбы с перебором
Было бы интересно узнать про ни побольше и узнать какие лучше для этого подхлдят. И вообще как лучше защититься от подобного рода атак.
У меня не кривые руки, я просто пока еще мало знаю.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Разбор лога, помогите советом.

Непрочитанное сообщение zg » 2008-10-01 14:25:14

Код: Выделить всё

zg# make search name=sshguard-ipfw
Port:   sshguard-ipfw-1.0_1
Path:   /usr/ports/security/sshguard-ipfw
Info:   Protect hosts from brute force attacks against ssh using ipfw
Maint:  mij@bitchx.it
B-deps:
R-deps:
WWW:    http://sshguard.sourceforge.net

zg#
служит тем же целям только для ссх, глянь может подойдёт

Аватара пользователя
TeXNiC
мл. сержант
Сообщения: 97
Зарегистрирован: 2007-02-06 12:17:35

Re: Разбор лога, помогите советом.

Непрочитанное сообщение TeXNiC » 2008-10-02 7:13:06

zg писал(а):служит тем же целям только для ссх, глянь может подойдёт
Спасибо за ответ посмотрю это.
У меня не кривые руки, я просто пока еще мало знаю.