AJUDA COM SCRIPT [RESOLVIDO]

13. Re: AJUDA COM SCRIPT [RESOLVIDO]

celiomagalhaesjr
(usa Ubuntu)

Enviado em 29/11/2016 - 20:12h

msoliver escreveu:

celiomagalhaesjr escreveu:

msoliver escreveu:

celiomagalhaesjr escreveu:

msoliver escreveu:

celiomagalhaesjr escreveu:
Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.

Celio, de "BATE e PRONTO", tenho isto:

awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' LOG_SQUID|sort -t"|" -k2|uniq -c

      4 IP: 113.31.28.44 

      1 IP: 125.106.63.107 

      3 IP: 218.93.207.189 

      2 IP: 222.186.15.162 

      5 IP: 27.148.156.85 

     42 IP: 45.63.52.113 

      1 IP: 60.168.241.196

Filtrei por "TCP_DENIED(_ABORTED)?" e contei as incidencias . . .
LOG_SQUID é o log que voce postou.
De uma verificada...

marcelo oliver

O problema é que os ataques são constantes, o log que postei não é 0,1% do log real rsrs
eles estão em

/var/log/squid3/access.log

queria algo que os enviasse para

iptables -I INPUT -s $IP_AQUI -j DROP

----------------------------------------------------
Celio, Execute o comando abaixo no seu PC:

awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' /var/log/squid3/access.log|sort -n -t"|" -k2|uniq -c|awk '$1>=3 {printf "iptables -I INPUT -s %s -j DROP\n" ,$3}'

Essa é a saida do mesmo

iptables -I INPUT -s 103.213.237.156 -j DROP

iptables -I INPUT -s 103.37.150.186 -j DROP

iptables -I INPUT -s 115.159.82.138 -j DROP

iptables -I INPUT -s 116.213.72.11 -j DROP

iptables -I INPUT -s 183.131.83.134 -j DROP

iptables -I INPUT -s 187.70.226.121 -j DROP

iptables -I INPUT -s 187.70.229.73 -j DROP

iptables -I INPUT -s 187.70.234.56 -j DROP

iptables -I INPUT -s 218.66.74.39 -j DROP

iptables -I INPUT -s 218.66.74.68 -j DROP

iptables -I INPUT -s 43.241.217.47 -j DROP