웹마스터 팁
page_full_width" class="col-xs-12" |cond="$__Context->page_full_width">
/var/log/secure 로그를 이용한 IP Deny 자동 등록 스크립트
2006.02.02 19:39
네이버 리눅서 유저 그릅 질풍볼프(pciswife) 님의 글입니다.
이 스크립트는 리눅스에서 기본적으로 제공하는 로그를 이용하여 10분 간격으로 로그를 추출하고
20회 이상 Fail Password를 발생시킨 아이피를 Tcp-Wrapper(/etc/hosts.deny)에 등록시켜
더이상 해킹 시도를 방지한다.
Caution : 10분이내에 뚫리면 어찌할 수 없음... =,.=;
ps. 스크립트의 제작의 편리를 위해서 중복 등록확인은 없음... ^^;
기본환경 : 리눅스, PHP Shell Script
작성언어 : PHP
동작원리
1. /var/log/secure 파일에서 10분대의 로그를 추출한다.
예 : 현재시간이 18:25:00 이라면 추출하는 시간은 18:10~19분을 추출한다.
2. 아이피 별로 갯수를 통계낸다.
3. 한 아이피에서 20회 이상 sshd로 비밀번호가 틀렸다면 /etc/hosts.deny에 "ALL:아이피주소"의
형태로 등록된다.
4. xinetd 데몬을 재시작한다.
5. 등록한 아이피 목록을 지정된 메일 주소로 발송한다.
실행방법
./secure_analysis.sh sshd
crontab 등록시
*/10 * * * * /경로명/secure_analysis.sh sshd
소스
#!/usr/local/bin/php
<?
// 개요
// secure log 를 분석해서 sshd로 불법적인 접속을 시도하는 IP를 /etc/hosts.deny에 등록하는 작업을 한다.
// Log Example : Jun 5 07:49:18 p1 sshd[1110]: Failed password for root from 211.114.190.196 port 52944 ssh2
// 추출 명령어 : grep "Jun 7 09" secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}'
// 지정된 입력값을 입력하지 않으면 실행하지 않는다.
if($argc > 1)
{
$RECEIVE_EMAIL = "수신 메일주소";
$Hostname = trim(exec("hostname"));
$Date = date("Y-m-d H:i:s");
// 10분전 분을 구한다.
$TenAgo = substr(date("i",mktime (date("H"), date("i")-10, 0, date("m"), date("d"), date("Y"))),0,1);
if(!file_exists("/service/log_temp"))
{
mkdir("/service/log_temp");
}
if(!file_exists("/service/log_temp/secure_analysis.log"))
{
exec("touch /service/log_temp/secure_analysis.log");
}
// 날짜에 따라서 검색어의 공백처리가 틀린 관계로 ... =,.=;
$DayLength = strlen(date("j"));
if($DayLength == 2)
{
$now = date("M j H:");
}
else
{
$now = date("M j H:");
}
if($argv[1] == "sshd")
{
exec("grep "$now$TenAgo" /var/log/secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}' > /service/log_temp/secure_log_".$argv[1]);
}
$Fail_IP_File = file("/service/log_temp/secure_log_".$argv[1]);
for($i=0; $i < count($Fail_IP_File); $i++)
{
$Fail_IP_File[$i] = trim($Fail_IP_File[$i]);
}
$Fail_Statistics = array_count_values($Fail_IP_File);
exec("echo "" > /service/log_temp/DenyIP.list_".$argv[1]);
while (list ($Ip, $Count) = each ($Fail_Statistics))
{
// 여기의 20을 조정하여 등록을 조절할 수 있다.
if($Count > 20)
{
$Now_Time = date("Y년 m월 d일 H시 i분 s초");
exec("echo "#Regist $Now_Time" >> /etc/hosts.deny");
exec("echo "ALL : $Ip" >> /etc/hosts.deny");
$Restart_Xinetd = 1;
exec("echo "$Now_Time | $Ip | $Count 회" >> /service/log_temp/DenyIP.list_".$argv[1]);
}
exec("echo "$Datet$Ipt$Count" >> /service/log_temp/secure_analysis.log");
}
if($Restart_Xinetd)
{
exec("killall -HUP xinetd");
exec("cat "/service/log_temp/DenyIP.list_".$argv[1]."" | mail -s "$Hostname Deny IP List - $Date " $RECEIVE_EMAIL");
}
}
else
{
echo("Missing Argument... Confirm Execute ...n");
}
?>
이 스크립트는 리눅스에서 기본적으로 제공하는 로그를 이용하여 10분 간격으로 로그를 추출하고
20회 이상 Fail Password를 발생시킨 아이피를 Tcp-Wrapper(/etc/hosts.deny)에 등록시켜
더이상 해킹 시도를 방지한다.
Caution : 10분이내에 뚫리면 어찌할 수 없음... =,.=;
ps. 스크립트의 제작의 편리를 위해서 중복 등록확인은 없음... ^^;
기본환경 : 리눅스, PHP Shell Script
작성언어 : PHP
동작원리
1. /var/log/secure 파일에서 10분대의 로그를 추출한다.
예 : 현재시간이 18:25:00 이라면 추출하는 시간은 18:10~19분을 추출한다.
2. 아이피 별로 갯수를 통계낸다.
3. 한 아이피에서 20회 이상 sshd로 비밀번호가 틀렸다면 /etc/hosts.deny에 "ALL:아이피주소"의
형태로 등록된다.
4. xinetd 데몬을 재시작한다.
5. 등록한 아이피 목록을 지정된 메일 주소로 발송한다.
실행방법
./secure_analysis.sh sshd
crontab 등록시
*/10 * * * * /경로명/secure_analysis.sh sshd
소스
#!/usr/local/bin/php
<?
// 개요
// secure log 를 분석해서 sshd로 불법적인 접속을 시도하는 IP를 /etc/hosts.deny에 등록하는 작업을 한다.
// Log Example : Jun 5 07:49:18 p1 sshd[1110]: Failed password for root from 211.114.190.196 port 52944 ssh2
// 추출 명령어 : grep "Jun 7 09" secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}'
// 지정된 입력값을 입력하지 않으면 실행하지 않는다.
if($argc > 1)
{
$RECEIVE_EMAIL = "수신 메일주소";
$Hostname = trim(exec("hostname"));
$Date = date("Y-m-d H:i:s");
// 10분전 분을 구한다.
$TenAgo = substr(date("i",mktime (date("H"), date("i")-10, 0, date("m"), date("d"), date("Y"))),0,1);
if(!file_exists("/service/log_temp"))
{
mkdir("/service/log_temp");
}
if(!file_exists("/service/log_temp/secure_analysis.log"))
{
exec("touch /service/log_temp/secure_analysis.log");
}
// 날짜에 따라서 검색어의 공백처리가 틀린 관계로 ... =,.=;
$DayLength = strlen(date("j"));
if($DayLength == 2)
{
$now = date("M j H:");
}
else
{
$now = date("M j H:");
}
if($argv[1] == "sshd")
{
exec("grep "$now$TenAgo" /var/log/secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}' > /service/log_temp/secure_log_".$argv[1]);
}
$Fail_IP_File = file("/service/log_temp/secure_log_".$argv[1]);
for($i=0; $i < count($Fail_IP_File); $i++)
{
$Fail_IP_File[$i] = trim($Fail_IP_File[$i]);
}
$Fail_Statistics = array_count_values($Fail_IP_File);
exec("echo "" > /service/log_temp/DenyIP.list_".$argv[1]);
while (list ($Ip, $Count) = each ($Fail_Statistics))
{
// 여기의 20을 조정하여 등록을 조절할 수 있다.
if($Count > 20)
{
$Now_Time = date("Y년 m월 d일 H시 i분 s초");
exec("echo "#Regist $Now_Time" >> /etc/hosts.deny");
exec("echo "ALL : $Ip" >> /etc/hosts.deny");
$Restart_Xinetd = 1;
exec("echo "$Now_Time | $Ip | $Count 회" >> /service/log_temp/DenyIP.list_".$argv[1]);
}
exec("echo "$Datet$Ipt$Count" >> /service/log_temp/secure_analysis.log");
}
if($Restart_Xinetd)
{
exec("killall -HUP xinetd");
exec("cat "/service/log_temp/DenyIP.list_".$argv[1]."" | mail -s "$Hostname Deny IP List - $Date " $RECEIVE_EMAIL");
}
}
else
{
echo("Missing Argument... Confirm Execute ...n");
}
?>
댓글 0
제목 | 글쓴이 | 날짜 |
---|---|---|
하이퍼 링크색 바꾸기 [3] | 권순빈 | 2003.02.03 |
스크롤바 색 바꾸기 [1] | 권순빈 | 2003.02.03 |
스크롤바 뒤집을때 문서 전체가 뒤집히는것 방지할때 [4] | K.샘 | 2003.02.01 |
* 특정한 이미지 파일의 투명도 조절하기 [5] | 장윤호 | 2003.01.28 |
핫키를 타겟에 적용시켜 봅시다-_- [3] | 위드 | 2003.01.21 |
[특강] 마우스 커서를 아이콘으로 바꿀수있다.
[11]
![]() | ZipShin | 2003.01.21 |
input태그 type의 종류.. [14] | 날수없는하늘 | 2003.01.21 |
스크롤바 자동/예/아니오 [11] | 레드 | 2003.01.18 |
테이블 테그시 <td>옵션을 쉽게 작성/변경해 봅시다 [2] | 위대한위선자 | 2003.01.18 |
[레드의 태그중급]폼 태그..(이상해져서 삭제하구 다시 적습니다) [3] | 레드 | 2003.01.15 |
[HTML 초보자]동영상을 출력하자-8(Object) [1] | ZipShin | 2003.01.14 |
[레드의 태그초보]링크태그 [5] | 레드 | 2003.01.14 |
[레드의 태그초보]이미지삽입 태그 [2] | 레드 | 2003.01.14 |
[레드의 태그초보]아이프레임을 새롭게 구조하였습니다..(;;) [3] | 레드 | 2003.01.14 |
모바일(핸드폰용) 홈페이지 만들기. [8] | 고광욱 | 2003.01.13 |
테이블을 이용한 문서의 정렬 [4] | 서성원 | 2003.01.11 |
이미지 없이 그라데이션 효과 내기 - 수정. [7] | Pe-i | 2003.01.10 |
[1분짜리 팁!] 스크롤바 왼쪽으로 위치하게 하기! [6] | 찐군 | 2003.01.09 |
[1분짜리 팁!] 테이블 테두리 얇게 하기 [5] | 찐군 | 2003.01.09 |
[1분짜리 팁!] 마우스커서 바꾸기! [10] | 찐군 | 2003.01.09 |