태그 자료실

회원로그인

무료회원가입 보안로그인

아이디/비밀번호찾기

- var - log - secure 로그를 이용한 IP Deny 자동 등록 스크립트

16년 전

이 스크립트는 리눅스에서 기본적으로 제공하는 로그를 이용하여 10분 간격으로 로그를 추출하고 20회 이상 Fail Password를 발생시킨 아이피를 Tcp-Wrapper(/etc/hosts.deny)에 등록시켜 더이상 해킹 시도를 방지한다.

Caution : 10분이내에 뚫리면 어찌할 수 없음... =,.=;

ps. 스크립트의 제작의 편리를 위해서 중복 등록확인은 없음... ^^;

기본환경 : 리눅스, PHP Shell Script

작성언어 : PHP

동작원리

1. /var/log/secure 파일에서 10분대의 로그를 추출한다.

  예 : 현재시간이 18:25:00 이라면 추출하는 시간은 18:10~19분을 추출한다.

2. 아이피 별로 갯수를 통계낸다.

3. 한 아이피에서 20회 이상 sshd로 비밀번호가 틀렸다면 /etc/hosts.deny에 "ALL:아이피주소"의  형태로 등록된다.

4. xinetd 데몬을 재시작한다.

5. 등록한 아이피 목록을 지정된 메일 주소로 발송한다.

실행방법

./secure_analysis.sh sshd

crontab 등록시

*/10 * * * * /경로명/secure_analysis.sh sshd

소스

#!/usr/local/bin/php
<?
// 개요
// secure log 를 분석해서 sshd로 불법적인 접속을 시도하는 IP를 /etc/hosts.deny에 등록하는 작업을 한다.

// Log Example : Jun  5 07:49:18 p1 sshd[1110]: Failed password for root from 211.114.190.196 port 52944 ssh2
// 추출 명령어 : grep "Jun  7 09" secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}'

// 지정된 입력값을 입력하지 않으면 실행하지 않는다.

if($argc > 1)
{
$RECEIVE_EMAIL = "수신 메일주소";
$Hostname = trim(exec("hostname"));

$Date = date("Y-m-d H:i:s");

// 10분전 분을 구한다.
$TenAgo = substr(date("i",mktime (date("H"), date("i")-10, 0, date("m"), date("d"), date("Y"))),0,1);

if(!file_exists("/service/log_temp"))
{
   exec("mkdir -p /service/log_temp");
}

    if(!file_exists("/service/log_temp/secure_analysis.log"))
    {
        exec("touch /service/log_temp/secure_analysis.log");
    }

// 날짜에 따라서 검색어의 공백처리가 틀린 관계로 ... =,.=;
$DayLength = strlen(date("j"));

if($DayLength == 2)
{
  $now = date("M j H:");
}
else
{
  $now = date("M  j H:");
}

if($argv[1] == "sshd")
{
  exec("grep \"$now$TenAgo\" /var/log/secure | grep \"sshd\" | grep \"Failed password\" | awk -F \"from\" '{print \$2}' | awk '{print \$1}' > /service/log_temp/secure_log_".$argv[1]);
}

$Fail_IP_File = file("/service/log_temp/secure_log_".$argv[1]);

for($i=0; $i < count($Fail_IP_File); $i++)
{
  $Fail_IP_File[$i] = trim($Fail_IP_File[$i]);
}

$Fail_Statistics = array_count_values($Fail_IP_File);

exec("echo \"\" > /service/log_temp/DenyIP.list_".$argv[1]);

while (list ($Ip, $Count) = each ($Fail_Statistics))
{

// 여기의 20을 조정하여 등록을 조절할 수 있다.
  if($Count > 20)
  {
   $Now_Time = date("Y년 m월 d일 H시 i분 s초");
   exec("echo \"#Regist $Now_Time\" >> /etc/hosts.deny");
   exec("echo \"ALL : $Ip\" >> /etc/hosts.deny");
   $Restart_Xinetd = 1;
   exec("echo \"$Now_Time | $Ip | $Count 회\" >> /service/log_temp/DenyIP.list_".$argv[1]);
  }
  exec("echo \"$Date\t$Ip\t$Count\" >> /service/log_temp/secure_analysis.log");
}

if($Restart_Xinetd)
{
  exec("killall -HUP xinetd");
  exec("cat \"/service/log_temp/DenyIP.list_".$argv[1]."\" | mail -s \"$Hostname Deny IP List - $Date \" $RECEIVE_EMAIL");
}
}
else
{
echo("Missing Argument... Confirm Execute ...\n");
}
?>

추천 목록

번호	제목
2,879	10진수 <-> 16진수 변환기 PHP소스
2,878	텍스트에 직접 그라데이션 색상을 적용하려면?
2,877	CSS를 사용하여 요소의 내용물에 따라 width를 조정하는 방법
2,876	웹서버 ip 확인
2,875	웹호스팅의 절대경로를 확인
2,874	input 입력 필드 앞뒤 공백 실시간 제거
2,873	Placeholder 포커스시 감추기
2,872	MySQL 중복된 데이터를 삭제
2,871	MySQL 중복 데이터 확인
2,870	sessionStorage.getItem 와 sessionStorage.setItem
2,869	제이쿼리 랜덤으로 배경색 변경
2,868	preg match에 관한 정규식
2,867	Stream an audio file with MediaPlayer 오디오 파일 스트리밍 하기
2,866	Audio Streaming PHP Code
2,865	PHP $ SERVER 환경 변수 정리
2,864	Vimeo (비메오) API 를 사용하여 플레이어 컨트롤하기
2,863	iframe 사용시 하단에 발생하는 공백 제거방법
2,862	아이프레임(iframe) 전체화면 가능하게 하기
2,861	부트스트랩(bootstrapk)에서 사용하는 class명 정리
2,860	부트스트랩 CSS
2,859	크롬에서 마진 조절
2,858	PHP 현재 페이지의 도메인명이나 url등의 정보 알아오기
2,857	PHP preg match all()
2,856	PHP 로 웹페이지 긁어오기 모든 방법 총정리!
2,855	[PHP] 원격지 파일 주소 노출 안하고 curl로 다운로드 받기
2,854	PHP 함수 정리
2,853	아이프레임(iframe) 비율 유지하면서 크기 조절하는 방법
2,852	PHP 배열에서 무작위로 하나 뽑아주는 array rand() 함수
2,851	PHP 정규식 정리
2,850	PHP 정규식을 활용한 태그 및 특정 문자열 제거 및 추출 방법