forum.lissyara.su

Если вы ударите по лицу европейца, он заплачет. Если вы ударите по лицу американца, он подаст на вас в суд. Если вы ударите по лицу русского, знайте, ваши проблемы только начались
https://forum.lissyara.su/

Разбор лога, помогите советом.

https://forum.lissyara.su/viewtopic.php?f=32&t=11353

Страница 1 из 1

Разбор лога, помогите советом.

Добавлено: 2008-10-01 11:12:33
TeXNiC
Недавно заметил что в auth.log есть записи о переборе пароля и лгина к proftpd.

Код: Выделить всё

Sep 30 04:28:29 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - USER Administrator (Login failed): Incorrect password.
Sep 30 04:28:37 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - USER Administrator (Login failed): Incorrect password.
Sep 30 04:28:37 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - USER Administrator (Login failed): Incorrect password.
Sep 30 04:28:37 proxy proftpd[30310]: proxy.dom.local (85.15.207.111[85.15.207.111]) - Maximum login attempts (3) exceeded, connection refused
Прочитал стаью http://www.lissyara.su/?id=1069 идея понравилась, вот только неполучается плучить адрес злоумышленника
Для теста использую скрипт

Код: Выделить всё

#!/bin/sh
cat /var/log/auth.log | grep failed | awk '{print $7}' | sort | uniq -c  | sort
{
while read count_IP
do
count_deny=`echo ${count_IP} | awk '{print $1}'`
IP=`echo ${count_IP} | awk '{print $2}'`
if [ ${count_deny} -ge 10 ]
then
echo "IP address  = ${IP}      deny count =    ${count_deny}"
#/sbin/ipfw add 1 deny ip from ${IP} to me >/dev/null 2>&1
fi
done
}
Получаю только (85.15.207.111[85.15.207.111]) и количество попыток, как достать адрес. Помогите с скриптом.
Я только постигаю премудрости shell-а поэтому не пинайте сильно.

Re: Разбор лога, помогите советом.

Добавлено: 2008-10-01 11:36:40
zg

Код: Выделить всё

zg# echo '85.15.207.111[85.15.207.111]' | grep -Eo '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | uniq
85.15.207.111
zg#
но есть специализированные утилиты для борьбы с перебором

Re: Разбор лога, помогите советом.

Добавлено: 2008-10-01 12:13:31
TeXNiC
zg писал(а):

Код: Выделить всё

zg# echo '85.15.207.111[85.15.207.111]' | grep -Eo '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | uniq
85.15.207.111
zg#
Спасибо заработало !
но есть специализированные утилиты для борьбы с перебором
Было бы интересно узнать про ни побольше и узнать какие лучше для этого подхлдят. И вообще как лучше защититься от подобного рода атак.

Re: Разбор лога, помогите советом.

Добавлено: 2008-10-01 14:25:14
zg

Код: Выделить всё

zg# make search name=sshguard-ipfw
Port:   sshguard-ipfw-1.0_1
Path:   /usr/ports/security/sshguard-ipfw
Info:   Protect hosts from brute force attacks against ssh using ipfw
Maint:  mij@bitchx.it
B-deps:
R-deps:
WWW:    http://sshguard.sourceforge.net

zg#
служит тем же целям только для ссх, глянь может подойдёт

Re: Разбор лога, помогите советом.

Добавлено: 2008-10-02 7:13:06
TeXNiC
zg писал(а):служит тем же целям только для ссх, глянь может подойдёт
Спасибо за ответ посмотрю это.
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/