태그 자료실

회원로그인

무료회원가입 보안로그인

아이디/비밀번호찾기

- var - log - secure 로그를 이용한 IP Deny 자동 등록 스크립트

16년 전

이 스크립트는 리눅스에서 기본적으로 제공하는 로그를 이용하여 10분 간격으로 로그를 추출하고 20회 이상 Fail Password를 발생시킨 아이피를 Tcp-Wrapper(/etc/hosts.deny)에 등록시켜 더이상 해킹 시도를 방지한다.

Caution : 10분이내에 뚫리면 어찌할 수 없음... =,.=;

ps. 스크립트의 제작의 편리를 위해서 중복 등록확인은 없음... ^^;

기본환경 : 리눅스, PHP Shell Script

작성언어 : PHP

동작원리

1. /var/log/secure 파일에서 10분대의 로그를 추출한다.

  예 : 현재시간이 18:25:00 이라면 추출하는 시간은 18:10~19분을 추출한다.

2. 아이피 별로 갯수를 통계낸다.

3. 한 아이피에서 20회 이상 sshd로 비밀번호가 틀렸다면 /etc/hosts.deny에 "ALL:아이피주소"의  형태로 등록된다.

4. xinetd 데몬을 재시작한다.

5. 등록한 아이피 목록을 지정된 메일 주소로 발송한다.

실행방법

./secure_analysis.sh sshd

crontab 등록시

*/10 * * * * /경로명/secure_analysis.sh sshd

소스

#!/usr/local/bin/php
<?
// 개요
// secure log 를 분석해서 sshd로 불법적인 접속을 시도하는 IP를 /etc/hosts.deny에 등록하는 작업을 한다.

// Log Example : Jun  5 07:49:18 p1 sshd[1110]: Failed password for root from 211.114.190.196 port 52944 ssh2
// 추출 명령어 : grep "Jun  7 09" secure | grep "sshd" | grep "Failed password" | awk -F "from" '{print $2}' | awk '{print $1}'

// 지정된 입력값을 입력하지 않으면 실행하지 않는다.

if($argc > 1)
{
$RECEIVE_EMAIL = "수신 메일주소";
$Hostname = trim(exec("hostname"));

$Date = date("Y-m-d H:i:s");

// 10분전 분을 구한다.
$TenAgo = substr(date("i",mktime (date("H"), date("i")-10, 0, date("m"), date("d"), date("Y"))),0,1);

if(!file_exists("/service/log_temp"))
{
   exec("mkdir -p /service/log_temp");
}

    if(!file_exists("/service/log_temp/secure_analysis.log"))
    {
        exec("touch /service/log_temp/secure_analysis.log");
    }

// 날짜에 따라서 검색어의 공백처리가 틀린 관계로 ... =,.=;
$DayLength = strlen(date("j"));

if($DayLength == 2)
{
  $now = date("M j H:");
}
else
{
  $now = date("M  j H:");
}

if($argv[1] == "sshd")
{
  exec("grep \"$now$TenAgo\" /var/log/secure | grep \"sshd\" | grep \"Failed password\" | awk -F \"from\" '{print \$2}' | awk '{print \$1}' > /service/log_temp/secure_log_".$argv[1]);
}

$Fail_IP_File = file("/service/log_temp/secure_log_".$argv[1]);

for($i=0; $i < count($Fail_IP_File); $i++)
{
  $Fail_IP_File[$i] = trim($Fail_IP_File[$i]);
}

$Fail_Statistics = array_count_values($Fail_IP_File);

exec("echo \"\" > /service/log_temp/DenyIP.list_".$argv[1]);

while (list ($Ip, $Count) = each ($Fail_Statistics))
{

// 여기의 20을 조정하여 등록을 조절할 수 있다.
  if($Count > 20)
  {
   $Now_Time = date("Y년 m월 d일 H시 i분 s초");
   exec("echo \"#Regist $Now_Time\" >> /etc/hosts.deny");
   exec("echo \"ALL : $Ip\" >> /etc/hosts.deny");
   $Restart_Xinetd = 1;
   exec("echo \"$Now_Time | $Ip | $Count 회\" >> /service/log_temp/DenyIP.list_".$argv[1]);
  }
  exec("echo \"$Date\t$Ip\t$Count\" >> /service/log_temp/secure_analysis.log");
}

if($Restart_Xinetd)
{
  exec("killall -HUP xinetd");
  exec("cat \"/service/log_temp/DenyIP.list_".$argv[1]."\" | mail -s \"$Hostname Deny IP List - $Date \" $RECEIVE_EMAIL");
}
}
else
{
echo("Missing Argument... Confirm Execute ...\n");
}
?>

추천 목록

번호	제목
845	무한 이미지 업로드
844	진행상태바(ProgressBar)
843	SELECT BOX로 해당 주소로 이동하기2
842	진행상태바(ProgressBar)2
841	인쇄 안되는 페이지 만들기
840	스크롤 될 때에만 색상이 변하는 스크롤바
839	스크롤바 색상 지정 마법사
838	날짜 선택 새창용 스크립트 + HTML
837	한꺼번에 5가지 시간 표시
836	아이프레임 높이 자동으로 늘어나는 자바 스크립트
835	window.open 속성 사용 방법
834	PHP 초보탈출을 위한 유용한 함수모음
833	표안의 레이어 고정좌표 풀기
832	레이어에 스크롤바 달기
831	브라우저 체크함수
830	OS 체크함수
829	go Top, go Bottom 버튼 만들기
828	prototype String 함수
	/var/log/secure 로그를 이용한 IP Deny 자동 등록 스크립트
826	플래쉬를 이용한 게시판 자동등록 방지 알고리즘
825	함수나 클래스 중복선언 확인 함수
824	fsockopen이용해 file함수 처럼 사용하기
823	사이즈가 큰이미지 웹페이지 출력시 자동으로 사이즈 줄이기...
822	바운스되면서 따라다니는 Floating Menu
821	한글기준으로 문자 자르기 함수
820	버튼을 클릭하면 노트패드를 실행합니다..
819	알람시계 (설정된 시간이 되면 경고창으로 알려줍니다.)
818	자바스크립트 캐쉬파일 생성안하기
817	XP Servicepack2, IE7에서도 팝업창 사이즈 이쁘게 조절하기
816	소스보기 할 경우 소스보기 창이 뜨지 않게하기