태그 자료실

회원로그인

무료회원가입 보안로그인

아이디/비밀번호찾기

- var - log - secure 로그를 이용한 IP Deny 자동 등록 스크립트

16년 전

이 스크립트는 리눅스에서 기본적으로 제공하는 로그를 이용하여 10분 간격으로 로그를 추출하고 20회 이상 Fail Password를 발생시킨 아이피를 Tcp-Wrapper(/etc/hosts.deny)에 등록시켜 더이상 해킹 시도를 방지한다.

Caution : 10분이내에 뚫리면 어찌할 수 없음... =,.=;

ps. 스크립트의 제작의 편리를 위해서 중복 등록확인은 없음... ^^;

기본환경 : 리눅스, PHP Shell Script

작성언어 : PHP

동작원리

1. /var/log/secure 파일에서 10분대의 로그를 추출한다.

  예 : 현재시간이 18:25:00 이라면 추출하는 시간은 18:10~19분을 추출한다.

2. 아이피 별로 갯수를 통계낸다.

3. 한 아이피에서 20회 이상 sshd로 비밀번호가 틀렸다면 /etc/hosts.deny에 "ALL:아이피주소"의  형태로 등록된다.

4. xinetd 데몬을 재시작한다.

5. 등록한 아이피 목록을 지정된 메일 주소로 발송한다.

실행방법

./secure_analysis.sh sshd

crontab 등록시

*/10 * * * * /경로명/secure_analysis.sh sshd

소스

#!/usr/local/bin/php
<?
// 개요
// secure log 를 분석해서 sshd로 불법적인 접속을 시도하는 IP를 /etc/hosts.deny에 등록하는 작업을 한다.

// Log Example : Jun  5 07:49:18 p1 sshd[1110]: Failed password for root from 211.114.190.196 port 52944 ssh2
// 추출 명령어 : grep "Jun  7 09" secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}'

// 지정된 입력값을 입력하지 않으면 실행하지 않는다.

if($argc > 1)
{
$RECEIVE_EMAIL = "수신 메일주소";
$Hostname = trim(exec("hostname"));

$Date = date("Y-m-d H:i:s");

// 10분전 분을 구한다.
$TenAgo = substr(date("i",mktime (date("H"), date("i")-10, 0, date("m"), date("d"), date("Y"))),0,1);

if(!file_exists("/service/log_temp"))
{
   exec("mkdir -p /service/log_temp");
}

    if(!file_exists("/service/log_temp/secure_analysis.log"))
    {
        exec("touch /service/log_temp/secure_analysis.log");
    }

// 날짜에 따라서 검색어의 공백처리가 틀린 관계로 ... =,.=;
$DayLength = strlen(date("j"));

if($DayLength == 2)
{
  $now = date("M j H:");
}
else
{
  $now = date("M  j H:");
}

if($argv[1] == "sshd")
{
  exec("grep \"$now$TenAgo\" /var/log/secure | grep \"sshd\" | grep \"Failed password\" | awk -F \"from\" '{print \$2}' | awk '{print \$1}' > /service/log_temp/secure_log_".$argv[1]);
}

$Fail_IP_File = file("/service/log_temp/secure_log_".$argv[1]);

for($i=0; $i < count($Fail_IP_File); $i++)
{
  $Fail_IP_File[$i] = trim($Fail_IP_File[$i]);
}

$Fail_Statistics = array_count_values($Fail_IP_File);

exec("echo \"\" > /service/log_temp/DenyIP.list_".$argv[1]);

while (list ($Ip, $Count) = each ($Fail_Statistics))
{

// 여기의 20을 조정하여 등록을 조절할 수 있다.
  if($Count > 20)
  {
   $Now_Time = date("Y년 m월 d일 H시 i분 s초");
   exec("echo \"#Regist $Now_Time\" >> /etc/hosts.deny");
   exec("echo \"ALL : $Ip\" >> /etc/hosts.deny");
   $Restart_Xinetd = 1;
   exec("echo \"$Now_Time | $Ip | $Count 회\" >> /service/log_temp/DenyIP.list_".$argv[1]);
  }
  exec("echo \"$Date\t$Ip\t$Count\" >> /service/log_temp/secure_analysis.log");
}

if($Restart_Xinetd)
{
  exec("killall -HUP xinetd");
  exec("cat \"/service/log_temp/DenyIP.list_".$argv[1]."\" | mail -s \"$Hostname Deny IP List - $Date \" $RECEIVE_EMAIL");
}
}
else
{
echo("Missing Argument... Confirm Execute ...\n");
}
?>

추천 목록

번호	제목
103	리눅스 서버 도메인 기본 포트 목록
102	윈도우 서버 도메인 컨트롤러 기본 포트 목록
101	윈도우서버 원격 접속 방법
100	자주쓰는 리눅스 서버 명령어
99	아스키 코드 암호화/복호화
98	[KISA]공개 웹방화벽 설치/운영 동영상 가이드 배포
97	무단 링크 방지하기
96	입력폼에 타이핑하는 순간 쿠키에 값을 저장합니다.
95	IE6 서로 다른 도메인 사용시 쿠키문제 해결...
94	쿠키 클래스
93	쿠키 모두 삭제하기
	/var/log/secure 로그를 이용한 IP Deny 자동 등록 스크립트
91	플래쉬를 이용한 게시판 자동등록 방지 알고리즘
90	자바스크립트 캐쉬파일 생성안하기
89	XP Servicepack2, IE7에서도 팝업창 사이즈 이쁘게 조절하기
88	소스보기 할 경우 소스보기 창이 뜨지 않게하기
87	무단링크 방지하기
86	익스플로러 주소창에 이쁜 아이콘 넣기
85	head에 사용되는 메타테그 및 기타 테그
84	웹 문서 암호화 스크립트
83	CSS 및 JAVASCRIPT 소스 효과적으로 숨기기
82	textarea에 입력된 텍스트를 쿠키로 저장합니다
81	플래시에서 마우스 오른쪽 메뉴 사용 못하게하기
80	이메일 주소를 입력하면 메일수집기에 걸리지 않는 스크립트를 생성합니다.
79	익스플로어 시작 페이지 변경
78	현재페이지를 인쇄할때 출력용지에 아무 내용도 안찍히게 설정
77	검색 엔진
76	페이지의 소스를 암호화하는 소스입니다
75	문자열 인코딩/디코딩 합니다
74	등록된 회원인지 체크하는 소스입니다