SIR
이전글 목록 다음글

/var/log/secure 로그를 이용한 IP Deny 자동 등록

트리플
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 17년 전 · 1425
 

/var/log/secure 로그를 이용한 IP Deny 자동 등록

 

이 스크립트는 리눅스에서 기본적으로 제공하는 로그를 이용하여 10분 간격으로 로그를 추출하고

20회 이상 Fail Password를 발생시킨 아이피를 Tcp-Wrapper(/etc/hosts.deny)에 등록시켜

더이상 해킹 시도를 방지한다.

 

Caution : 10분이내에 뚫리면 어찌할 수 없음... =,.=;

 

ps. 스크립트의 제작의 편리를 위해서 중복 등록확인은 없음... ^^;

 

기본환경 : 리눅스, PHP Shell Script-x

작성언어 : PHP

 

동작원리

1. /var/log/secure 파일에서 10분대의 로그를 추출한다.

  예 : 현재시간이 18:25:00 이라면 추출하는 시간은 18:10~19분을 추출한다.

2. 아이피 별로 갯수를 통계낸다.

3. 한 아이피에서 20회 이상 sshd로 비밀번호가 틀렸다면 /etc/hosts.deny에 "ALL:아이피주소"의

   형태로 등록된다.

4. xinetd 데몬을 재시작한다.

5. 등록한 아이피 목록을 지정된 메일 주소로 발송한다.

 

실행방법

./secure_analysis.sh sshd

 

crontab 등록시

*/10 * * * * /경로명/secure_analysis.sh sshd

 

소스

#!/usr/local/bin/php
<?
// 개요
// secure log 를 분석해서 sshd로 불법적인 접속을 시도하는 IP를 /etc/hosts.deny에 등록하는 작업을 한다.

// Log Example : Jun  5 07:49:18 p1 sshd[1110]: Failed password for root from 211.114.190.196 port 52944 ssh2
// 추출 명령어 : grep "Jun  7 09" secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}'

// 지정된 입력값을 입력하지 않으면 실행하지 않는다.

if($argc > 1)
{
 $RECEIVE_EMAIL = "수신 메일주소";
 $Hostname = trim(exec("hostname"));

 $Date = date("Y-m-d H:i:s");

 // 10분전 분을 구한다.
 $TenAgo = substr(date("i",mktime (date("H"), date("i")-10, 0, date("m"), date("d"), date("Y"))),0,1);

 if(!file_exists("/service/log_temp"))
 {
   exec("mkdir -p /service/log_temp");
 }

    if(!file_exists("/service/log_temp/secure_analysis.log"))
    {
        exec("touch /service/log_temp/secure_analysis.log");
    }

 // 날짜에 따라서 검색어의 공백처리가 틀린 관계로 ... =,.=;
 $DayLength = strlen(date("j"));

 if($DayLength == 2)
 {
  $now = date("M j H:");
 }
 else
 {
  $now = date("M  j H:");
 }

 if($argv[1] == "sshd")
 {
  exec("grep \"$now$TenAgo\" /var/log/secure | grep \"sshd\" | grep \"Failed password\" | awk -F \"from\" '{print \$2}' | awk '{print \$1}' > /service/log_temp/secure_log_".$argv[1]);
 }

 $Fail_IP_File = file("/service/log_temp/secure_log_".$argv[1]);

 for($i=0; $i < count($Fail_IP_File); $i++)
 {
  $Fail_IP_File[$i] = trim($Fail_IP_File[$i]);
 }

 $Fail_Statistics = array_count_values($Fail_IP_File);

 exec("echo \"\" > /service/log_temp/DenyIP.list_".$argv[1]);

 while (list ($Ip, $Count) = each ($Fail_Statistics))
 {

// 여기의 20을 조정하여 등록을 조절할 수 있다.
  if($Count > 20)
  {
   $Now_Time = date("Y년 m월 d일 H시 i분 s초");
   exec("echo \"#Regist $Now_Time\" >> /etc/hosts.deny");
   exec("echo \"ALL : $Ip\" >> /etc/hosts.deny");
   $Restart_Xinetd = 1;
   exec("echo \"$Now_Time | $Ip | $Count 회\" >> /service/log_temp/DenyIP.list_".$argv[1]);
  }
  exec("echo \"$Date\t$Ip\t$Count\" >> /service/log_temp/secure_analysis.log");
 }

 if($Restart_Xinetd)
 {
  exec("killall -HUP xinetd");
  exec("cat \"/service/log_temp/DenyIP.list_".$argv[1]."\" | mail -s \"$Hostname Deny IP List - $Date \" $RECEIVE_EMAIL");
 }
}
else
{
 echo("Missing Argument... Confirm Execute ...\n");
}
?>

[이 게시물은 관리자님에 의해 2011-10-31 17:12:10 PHP & HTML에서 이동 됨]
#개발자팁 #개발자 #팁자료실 #javascript
|
댓글을 작성하시려면 로그인이 필요합니다.

프로그램

태그 필터 (최대 3개) 전체 개발자 소스 기타 mysql 팁자료실 javascript php linux flash 정규표현식 jquery node.js mobile 웹서버 os 프로그램 강좌 썸네일 이미지관련 도로명주소 그누보드5 기획자 견적서 계약서 기획서 마케팅 제안서 seo 통계 서식 통계자료 퍼블리셔 html css 반응형 웹접근성 퍼블리싱 표준화 반응형웹 홈페이지기초 부트스트랩 angularjs 포럼 스크린리더 센스리더 개발자톡 개발자팁 퍼블리셔톡 퍼블리셔팁 기획자톡 기획자팁 프로그램강좌 퍼블리싱강좌
+
제목 글쓴이 날짜 조회
17년 전 조회 1,598
17년 전 조회 1,266
17년 전 조회 4,399
17년 전 조회 3,943
17년 전 조회 2,836
17년 전 조회 1,632
17년 전 조회 1,370
17년 전 조회 1,647
17년 전 조회 2,562
17년 전 조회 1,770
17년 전 조회 2,066
17년 전 조회 1,346
17년 전 조회 1,082
17년 전 조회 1,164
17년 전 조회 2,964
17년 전 조회 2,507
17년 전 조회 2,084
17년 전 조회 2,089
17년 전 조회 1,834
17년 전 조회 2,287
17년 전 조회 2,059
17년 전 조회 2,024
17년 전 조회 1,914
17년 전 조회 1,244
17년 전 조회 1,861
17년 전 조회 2,262
17년 전 조회 2,352
17년 전 조회 1,685
17년 전 조회 1,542
17년 전 조회 1,399
17년 전 조회 2,614
17년 전 조회 2,710
17년 전 조회 2,108
17년 전 조회 2,457
17년 전 조회 2,763
17년 전 조회 1,355
17년 전 조회 1,220
17년 전 조회 6,367
17년 전 조회 1,214
17년 전 조회 1,670
17년 전 조회 1,810
17년 전 조회 1,138
17년 전 조회 1,228
17년 전 조회 1,932
17년 전 조회 1,557
17년 전 조회 3,656
17년 전 조회 1,245
17년 전 조회 1,947
17년 전 조회 1,205
17년 전 조회 1,426
17년 전 조회 2,397
17년 전 조회 2,057
17년 전 조회 1,072
17년 전 조회 1,079
17년 전 조회 1,134
17년 전 조회 6,083
17년 전 조회 5,887
17년 전 조회 2,078
17년 전 조회 1,054
17년 전 조회 1,162
17년 전 조회 2,118
17년 전 조회 1,550
17년 전 조회 1,195
17년 전 조회 1,221
17년 전 조회 1,160
17년 전 조회 1,088
17년 전 조회 3,994
17년 전 조회 2,204
17년 전 조회 1,653
17년 전 조회 2,803
17년 전 조회 1,503
17년 전 조회 1,191
17년 전 조회 1,218
17년 전 조회 1,277
17년 전 조회 1,164
17년 전 조회 1,273
17년 전 조회 2,437
17년 전 조회 4,229
17년 전 조회 1,233
17년 전 조회 3,977
17년 전 조회 4,132
17년 전 조회 1,246
17년 전 조회 2,212
17년 전 조회 1,655
17년 전 조회 3,253
17년 전 조회 1,395
17년 전 조회 3,638
17년 전 조회 3,434
17년 전 조회 2,599
17년 전 조회 2,973
17년 전 조회 2,665
17년 전 조회 1,981
17년 전 조회 3,346
17년 전 조회 2,665
17년 전 조회 3,555
17년 전 조회 1,176
17년 전 조회 2,288
17년 전 조회 1,358
17년 전 조회 1,233
17년 전 조회 1,101
이전 첫 페이지 다음
글쓰기