#!/bin/sh
echo "\tВведи IP адрес, который желаешь проверить на открытые порты:"
read IP
INFO=$(nmap -A -e eth0 -D 83.137.145.102 143.121.84.12 132.154.156.6 -vv -O -PN -sS -sV $IP)
for i in $IP
do
echo "\n\tIP:\n\t $IP \n\tINFO:\n\t $INFO \n"
echo "$INFO\t$IP\n" > /home/tmp/log/nmap/nmap-$IP.txt
done
четверг, 29 декабря 2011 г.
понедельник, 26 декабря 2011 г.
dns>ip >> ip.txt
После 3-х часов курения ман'ов вывел такой скрипт для удобного получения адресов ип при вводе url:
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
#!/bin/sh
echo "URL:"
read URL
IP=$(nslookup $URL | awk '/Address:/ { print $2 }' | grep -v \#)
for i in $URL
do
echo "\n\t$IP:\n\t$URL\n\tDNS прочитан, ip записан в файл ip-ban.txt\t[OK]\n"
echo "# $URL\n$IP" > /home/tmp/ban-ip/ip-ban.txt
done
<><><><><><><><><><><><><><><><><><><><><><><><><>
В консоли видим следующее:
:~$ /home/tmp/sh/nslookup.sh
URL:
google.com
74.125.232.50
74.125.232.51
74.125.232.52
74.125.232.48
74.125.232.49:
google.com
DNS прочитан, ip записан в файл ip-ban.txt [OK]
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
#!/bin/sh
echo "URL:"
read URL
IP=$(nslookup $URL | awk '/Address:/ { print $2 }' | grep -v \#)
for i in $URL
do
echo "\n\t$IP:\n\t$URL\n\tDNS прочитан, ip записан в файл ip-ban.txt\t[OK]\n"
echo "# $URL\n$IP" > /home/tmp/ban-ip/ip-ban.txt
done
<><><><><><><><><><><><><><><><><><><><><><><><><>
В консоли видим следующее:
:~$ /home/tmp/sh/nslookup.sh
URL:
google.com
74.125.232.50
74.125.232.51
74.125.232.52
74.125.232.48
74.125.232.49:
google.com
DNS прочитан, ip записан в файл ip-ban.txt [OK]
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
В файле:
# google.ru
74.125.232.50
74.125.232.51
74.125.232.52
74.125.232.48
74.125.232.49
# google.com
74.125.232.50
74.125.232.51
74.125.232.52
74.125.232.48
74.125.232.49
воскресенье, 25 декабря 2011 г.
практичный способ банить ип
ip адреа принадлежащие доменному имени сложим результат в файл:
nslookup brightcity.ru | awk '/Address:/ { print $2 }' | grep -v \# > /etc/ip-ban.txt
Создадим скрипт и разрешим выполнение файла:
/etc/iptables.sh
*********************************************
#!/bin/bash
BLOCKDB="/etc/ip-ban.txt"
IPS=$(grep -Ev '^#' $BLOCKDB)
for i in $IPS
do
iptables -A INPUT -s $i -j DROP
iptables -A OUTPUT -o $i -j DROP
done
*********************************************
Собственно сам список ip:
/etc/ip-ban.txt
#############################################
# brightcity.ru
90.156.201.15
90.156.201.25
90.156.201.44
90.156.201.14
#############################################
nslookup brightcity.ru | awk '/Address:/ { print $2 }' | grep -v \# > /etc/ip-ban.txt
Создадим скрипт и разрешим выполнение файла:
/etc/iptables.sh
*********************************************
#!/bin/bash
BLOCKDB="/etc/ip-ban.txt"
IPS=$(grep -Ev '^#' $BLOCKDB)
for i in $IPS
do
iptables -A INPUT -s $i -j DROP
iptables -A OUTPUT -o $i -j DROP
done
*********************************************
Собственно сам список ip:
/etc/ip-ban.txt
#############################################
# brightcity.ru
90.156.201.15
90.156.201.25
90.156.201.44
90.156.201.14
#############################################
пятница, 23 декабря 2011 г.
Лог http:// на email за сутки
Нам понадобятся следующие команды:
# tcpflow -c -i eth0 host 111.111.111.111 and port 80 | grep "Referer" >> /home/tmp/log/tcp/tcpflow/log.txt
$ sort /home/tmp/log/tcp/tcpflow/log.txt | uniq > /home/tmp/log/tcp/tcpflow/loga.txt
$ mail -s "Письмо из файла" darvin44in@yandex.ru < /home/tmp/log/tcp/tcpflow/loga.txt
А теперь пояснения и сунем все это в cron:
*****************************************************
59 23 22 12 * tcpflow -c -i eth0 host 111.111.111.111 and port 80 | grep "Referer" >> /home/tmp/log/tcp/tcpflow/log.txt
59 23 * * * sort /home/tmp/log/tcp/tcpflow/log.txt | uniq > /home/tmp/log/tcp/tcpflow/loga.txt && mail -s "Log http:// в течении суток" user@mail.ru < /home/tmp/log/tcp/tcpflow/loga.txt && rm /home/tmp/log/tcp/tcpflow/log.txt
*****************************************************
# tcpflow -c -i eth0 host 111.111.111.111 and port 80 | grep "Referer" >> /home/tmp/log/tcp/tcpflow/log.txt
$ sort /home/tmp/log/tcp/tcpflow/log.txt | uniq > /home/tmp/log/tcp/tcpflow/loga.txt
$ mail -s "Письмо из файла" darvin44in@yandex.ru < /home/tmp/log/tcp/tcpflow/loga.txt
А теперь пояснения и сунем все это в cron:
*****************************************************
59 23 22 12 * tcpflow -c -i eth0 host 111.111.111.111 and port 80 | grep "Referer" >> /home/tmp/log/tcp/tcpflow/log.txt
59 23 * * * sort /home/tmp/log/tcp/tcpflow/log.txt | uniq > /home/tmp/log/tcp/tcpflow/loga.txt && mail -s "Log http:// в течении суток" user@mail.ru < /home/tmp/log/tcp/tcpflow/loga.txt && rm /home/tmp/log/tcp/tcpflow/log.txt
*****************************************************
четверг, 22 декабря 2011 г.
ban ip (продолжение)
Итак, есть список адресов серверов, но ведь мы можем и забыть, какие именно сайты заблокировали. Исправим это:
Соберем информацию об адресах:
nslookup < ipa.txt | cat > ipb.txt
Отфильтруем, чтобы присутствовали только строки с ip:
egrep -iRnH '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' ipb.txt > ipc.txt
Файл стал заметно меньше.
Для лучшего понимания того, что нам мешает и не нужно сортируем:
sort ipc.txt > ipf.txt
Удалим лишнее:
sed -i '/Server/d' ipf.txt
sed -i '/#53/d' ipf.txt
sed -i '/datacenter.com/d' ipf.txt
sed -i '/server/d' ipf.txt
получаем:
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
ipb.txt:107:120.227.172.184.in-addr.arpa name = 184.172.227.120-static.reverse.softlayer.com.
ipb.txt:123:ptr1.intergenia.de internet address = 217.172.191.251
ipb.txt:124:ptr2.intergenia.de internet address = 62.75.134.6
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Соберем информацию об адресах:
nslookup < ipa.txt | cat > ipb.txt
Отфильтруем, чтобы присутствовали только строки с ip:
egrep -iRnH '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' ipb.txt > ipc.txt
Файл стал заметно меньше.
Для лучшего понимания того, что нам мешает и не нужно сортируем:
sort ipc.txt > ipf.txt
Удалим лишнее:
sed -i '/Server/d' ipf.txt
sed -i '/#53/d' ipf.txt
sed -i '/datacenter.com/d' ipf.txt
sed -i '/server/d' ipf.txt
получаем:
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
ipb.txt:107:120.227.172.184.in-addr.arpa name = 184.172.227.120-static.reverse.softlayer.com.
ipb.txt:123:ptr1.intergenia.de internet address = 217.172.191.251
ipb.txt:124:ptr2.intergenia.de internet address = 62.75.134.6
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Мой список ban ip
Вынем из уже созданных правил ip:
egrep -o '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' iptables.rules > ip.txt
Теперь отсортируем и удалим повторяющиеся строки:
sort ip.txt | uniq >ipa.txt
%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%
113.57.157.10
121.10.143.226
122.225.11.177
173.244.196.64
173.244.196.66
173.244.196.67
173.244.196.68
173.244.196.69
173.244.196.70
174.37.109.121
178.218.210.194
178.248.234.2
184.172.227.120
188.138.113.162
188.138.90.154
188.138.90.193
188.138.92.242
188.138.95.145
188.187.250.19
188.64.170.50
188.64.170.9
188.64.171.2
188.64.171.7
188.93.18.82
188.93.18.84
208.101.49.98
213.174.154.100
213.174.154.217
213.186.117.133
213.248.36.100
217.69.135.1
222.177.23.112
222.75.152.67
32.64.5.74
46.182.28.101
46.182.28.102
46.182.28.98
46.182.28.99
46.38.184.68
50.30.33.90
64.76.235.3
69.162.117.202
74.125.232.48
74.125.232.49
74.125.232.50
74.125.232.51
74.125.232.52
74.125.79.100
74.125.79.101
74.125.79.102
74.125.79.113
74.125.79.138
74.125.79.139
81.192.11.100
81.19.70.19
81.19.88.103
81.19.88.108
81.19.88.80
81.19.88.81
83.149.2.253
85.195.93.66
85.25.137.18
85.85.181.180
87.242.77.54
87.242.88.80
87.242.88.94
88.208.32.151
88.208.32.20
88.208.32.47
88.208.57.102
88.208.57.32
88.208.58.166
88.208.58.194
88.212.196.101
88.212.196.102
88.212.196.103
88.212.196.104
88.212.196.105
88.212.196.66
88.212.196.69
88.212.196.77
88.85.93.100
88.85.93.101
88.85.93.34
88.85.93.35
90.156.219.61
90.156.219.62
91.199.92.39
91.202.63.162
91.205.189.15
91.205.189.27
95.211.127.92
95.211.33.37
продолжение темы
egrep -o '([[:digit:]]{1,3}\.){3}[[:digit:]]{1,3}' iptables.rules > ip.txt
Теперь отсортируем и удалим повторяющиеся строки:
sort ip.txt | uniq >ipa.txt
%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%;%
113.57.157.10
121.10.143.226
122.225.11.177
173.244.196.64
173.244.196.66
173.244.196.67
173.244.196.68
173.244.196.69
173.244.196.70
174.37.109.121
178.218.210.194
178.248.234.2
184.172.227.120
188.138.113.162
188.138.90.154
188.138.90.193
188.138.92.242
188.138.95.145
188.187.250.19
188.64.170.50
188.64.170.9
188.64.171.2
188.64.171.7
188.93.18.82
188.93.18.84
208.101.49.98
213.174.154.100
213.174.154.217
213.186.117.133
213.248.36.100
217.69.135.1
222.177.23.112
222.75.152.67
32.64.5.74
46.182.28.101
46.182.28.102
46.182.28.98
46.182.28.99
46.38.184.68
50.30.33.90
64.76.235.3
69.162.117.202
74.125.232.48
74.125.232.49
74.125.232.50
74.125.232.51
74.125.232.52
74.125.79.100
74.125.79.101
74.125.79.102
74.125.79.113
74.125.79.138
74.125.79.139
81.192.11.100
81.19.70.19
81.19.88.103
81.19.88.108
81.19.88.80
81.19.88.81
83.149.2.253
85.195.93.66
85.25.137.18
85.85.181.180
87.242.77.54
87.242.88.80
87.242.88.94
88.208.32.151
88.208.32.20
88.208.32.47
88.208.57.102
88.208.57.32
88.208.58.166
88.208.58.194
88.212.196.101
88.212.196.102
88.212.196.103
88.212.196.104
88.212.196.105
88.212.196.66
88.212.196.69
88.212.196.77
88.85.93.100
88.85.93.101
88.85.93.34
88.85.93.35
90.156.219.61
90.156.219.62
91.199.92.39
91.202.63.162
91.205.189.15
91.205.189.27
95.211.127.92
95.211.33.37
продолжение темы
понедельник, 19 декабря 2011 г.
анализ http
sudo tcpflow -c -i eth0 host 92.111.111.111 and port 80
Вывод вида: "Referer: http://d4arvin.blogspot.com/2011/12/http.html"
sudo tcpflow -c -i eth0 host 92.111.111.111 and port 80 | grep Referer | sendxmpp -s '80' -r '80' -i user@jabber.ru
Вывод вида: "Referer: http://d4arvin.blogspot.com/2011/12/http.html"
sudo tcpflow -c -i eth0 host 92.111.111.111 and port 80 | grep Referer | sendxmpp -s '80' -r '80' -i user@jabber.ru
ip+mac
user@pc:~$ sudo arp -an | awk '{print $2" "$4}' | sed s/"("/""/ | sed s/")"/""/
93.170.13.254 f8:66:f2:69:12:7f
93.170.13.254 f8:66:f2:69:12:7f
воскресенье, 18 декабря 2011 г.
log to email logwatch
gedit /etc/logwatch/conf/logwatch.conf
************************
Detail = High
mailer = "/usr/sbin/sendmail -t"
TmpDir = /tmp
MailTo = user@yandex.ru
MailFrom = user-pc
Arcives = Yes
Renage = Today
Print = No
Service = All
******************
############
/etc/cron.daily/00logwatch
############
aptitude install fortunes-ru
crontab -e
****
*/5 * * * * /usr/games/fortune | sendxmpp -s umor -r umor -i user@jabber.ru
****
******************
############
/etc/cron.daily/00logwatch
############
aptitude install fortunes-ru
crontab -e
****
*/5 * * * * /usr/games/fortune | sendxmpp -s umor -r umor -i user@jabber.ru
****
пятница, 16 декабря 2011 г.
Мониторим сервер с помощью Jabber. Мои наработки.
gedit /etc/rsyslog.d/50-default.conf
***
:msg, contains, "Accepted password for" /var/log/ssh/Accepted_auth.log
:msg, contains, "Failed password for" /var/log/ssh/Failed_auth.log
***
/etc/init.d/rsyslog restart
//
gedit /home/$user/.sendxmpprc
***
user1@jabber.ru:5222 PaSsWoRd
***
$ tail -f /var/log/ssh/Failed_auth.log | sendxmpp -s 'SSH Login' -r 'F_SSH' -i user@jabber.ru
$ tail -f /var/log/ssh/Accepted_auth.log | sendxmpp -s 'SSH Login' -r 'SSH' -i user@jabber.ru
воскресенье, 4 декабря 2011 г.
Вывод в консоль и запись в файл
/home/tmp/echo.sh && /home/tmp/echo.sh > /home/tmp/echo.log
#!/bin/bash
#/home/tmp/echo.sh
# используйте обратные кавычки " ` ` " для выполнения команды оболочки (Клавиша "тильда" - "~")
echo `nmap -sV -PN 85.195.93.66`
#!/bin/bash
#/home/tmp/echo.sh
# используйте обратные кавычки " ` ` " для выполнения команды оболочки (Клавиша "тильда" - "~")
echo `nmap -sV -PN 85.195.93.66`
Подписаться на:
Сообщения (Atom)