como pegar a porta que um ip tentou brut force em aquivo de logs [RESOLVIDO]

1. como pegar a porta que um ip tentou brut force em aquivo de logs [RESOLVIDO]

conectadohost
(usa XUbuntu)

Enviado em 01/10/2016 - 14:16h

Olá pessoal, tenho um arquivo de logs que mostra os ips bloqueados, o que eu estou tentando fazer é pegar em qual porta o determinado ip tentou brut force, mas como o ip fica na linha de baixo e a porta na linha de cima complicou pra mim.
no exemplo o ip é 64.228.180.209 e teria que pegar nos logs a porta que ele tentou brut force no caso a porta 21
tentei desse modo mas não adiantou



cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209  | grep Port

o arquivo está desse modo



[2016-10-01 13:37:03 -0300] info [cphulkd] 4427 Login Blocked: IP reached maximum auth failures [Service]=[pure-ftpd] [Local IP Address]=[192.168.648.847] [Local Port]=[21] [Remote IP Address]=[64.228.180.209] [Authentication Database]=[system] [Username]=[guest] (5/5 failures) (blocked until [Sat Oct  1 16:52:03 2016 UTC/Sat Oct  1 13:52:03 2016 LOCAL])

0 0

Quote

2. MELHOR RESPOSTA

msoliver
(usa Debian)

Enviado em 02/10/2016 - 12:14h

conectadohost escreveu:

Olá,
Obrigado pela resposta
mas não funcionou não sei por qual motivo os comandos executa mas não aconteceu nada.
consegui de outro modo fazendo minhas gambiarras, usei o sed pra trocar a palavra Local por quebra de linha
ai ficou mais fácil.



cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209 | sed 's/Local/\n/g' | grep Port |  awk -F"[" '{print $2}' | awk -F"]" '{print "Porta " $1}'

---> Márcio M M <---

----------------------------------------------------------------------------------------------------
Boa tarde ConectadoHost.
Voce informou que o IP e a PORTA estavam em linhas distintas . . . Mas, pelo visto, estão na mesma linha . . .
Sendo assim . . .
LOG="/usr/local/cpanel/logs/cphulkd.log"

awk -F" " '/64.228.180.209/ {print $19}' '$LOG' |sed 's/Port]=/PORTA /;s/\[\|\]//g'

Ou

awk -F"=" '/64.228.180.209/ {print $4}' '$LOG' |egrep -o '[0-9]+'

att.:
marcelo oliver

1 0

Quote

3. Re: como pegar a porta que um ip tentou brut force em aquivo de logs

msoliver
(usa Debian)

Enviado em 01/10/2016 - 20:19h

conectadohost escreveu:

Olá pessoal, tenho um arquivo de logs que mostra os ips bloqueados, o que eu estou tentando fazer é pegar em qual porta o determinado ip tentou brut force, mas como o ip fica na linha de baixo e a porta na linha de cima complicou pra mim.
no exemplo o ip é 64.228.180.209 e teria que pegar nos logs a porta que ele tentou brut force no caso a porta 21
tentei desse modo mas não adiantou



cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209  | grep Port

o arquivo está desse modo



[2016-10-01 13:37:03 -0300] info [cphulkd] 4427 Login Blocked: IP reached maximum auth failures [Service]=[pure-ftpd] [Local IP Address]=[192.168.648.847] [Local Port]=[21] [Remote IP Address]=[64.228.180.209] [Authentication Database]=[system] [Username]=[guest] (5/5 failures) (blocked until [Sat Oct  1 16:52:03 2016 UTC/Sat Oct  1 13:52:03 2016 LOCAL])

-------------------------------------------------
Boa noite conectadohost, vamos lá:

LOG="/usr/local/cpanel/logs/cphulkd.log"

NLIP=$(egrep -n '64.228.180.209' "$LOG"|cut -d":" -f1) ##PEGA O Nº DA LINHA QUE TEM O IP

NLPORTA=$((NLIP-1)) #Nº DA LINHA QUE ESPECIFICA A PORTA

awk -F"=" 'NR=='$NLPORTA' {print $4}' "$LOG"|tr -d [:punct:]

Verifique se atente a necessidade . . .
Att.:
marcelo oliver

0 0

Quote

4. Re: como pegar a porta que um ip tentou brut force em aquivo de logs

conectadohost
(usa XUbuntu)

Enviado em 02/10/2016 - 07:07h

Olá,
Obrigado pela resposta
mas não funcionou não sei por qual motivo os comandos executa mas não aconteceu nada.
consegui de outro modo fazendo minhas gambiarras, usei o sed pra trocar a palavra Local por quebra de linha
ai ficou mais fácil.



cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209 | sed 's/Local/\n/g' | grep Port |  awk -F"[" '{print $2}' | awk -F"]" '{print "Porta " $1}'

---> Márcio M M <---

0 0

Quote