como pegar a porta que um ip tentou brut force em aquivo de logs [RESOLVIDO]

1. como pegar a porta que um ip tentou brut force em aquivo de logs [RESOLVIDO]

marcio mendes mendes
conectadohost

(usa XUbuntu)

Enviado em 01/10/2016 - 14:16h

Olá pessoal, tenho um arquivo de logs que mostra os ips bloqueados, o que eu estou tentando fazer é pegar em qual porta o determinado ip tentou brut force, mas como o ip fica na linha de baixo e a porta na linha de cima complicou pra mim.
no exemplo o ip é 64.228.180.209 e teria que pegar nos logs a porta que ele tentou brut force no caso a porta 21
tentei desse modo mas não adiantou

cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209 | grep Port

o arquivo está desse modo

[2016-10-01 13:37:03 -0300] info [cphulkd] 4427 Login Blocked: IP reached maximum auth failures [Service]=[pure-ftpd] [Local IP Address]=[192.168.648.847] [Local Port]=[21] [Remote IP Address]=[64.228.180.209] [Authentication Database]=[system] [Username]=[guest] (5/5 failures) (blocked until [Sat Oct 1 16:52:03 2016 UTC/Sat Oct 1 13:52:03 2016 LOCAL])




  


2. MELHOR RESPOSTA

Marcelo Oliver
msoliver

(usa Debian)

Enviado em 02/10/2016 - 12:14h

conectadohost escreveu:

Olá,
Obrigado pela resposta
mas não funcionou não sei por qual motivo os comandos executa mas não aconteceu nada.
consegui de outro modo fazendo minhas gambiarras, usei o sed pra trocar a palavra Local por quebra de linha
ai ficou mais fácil.


cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209 | sed 's/Local/\n/g' | grep Port | awk -F"[" '{print $2}' | awk -F"]" '{print "Porta " $1}'

---> Márcio M M <---

----------------------------------------------------------------------------------------------------
Boa tarde ConectadoHost.
Voce informou que o IP e a PORTA estavam em linhas distintas . . . Mas, pelo visto, estão na mesma linha . . .
Sendo assim . . .
LOG="/usr/local/cpanel/logs/cphulkd.log"
awk -F" " '/64.228.180.209/ {print $19}' '$LOG' |sed 's/Port]=/PORTA /;s/\[\|\]//g'
Ou
awk -F"=" '/64.228.180.209/ {print $4}' '$LOG' |egrep -o '[0-9]+'

att.:
marcelo oliver

3. Re: como pegar a porta que um ip tentou brut force em aquivo de logs

Marcelo Oliver
msoliver

(usa Debian)

Enviado em 01/10/2016 - 20:19h

conectadohost escreveu:

Olá pessoal, tenho um arquivo de logs que mostra os ips bloqueados, o que eu estou tentando fazer é pegar em qual porta o determinado ip tentou brut force, mas como o ip fica na linha de baixo e a porta na linha de cima complicou pra mim.
no exemplo o ip é 64.228.180.209 e teria que pegar nos logs a porta que ele tentou brut force no caso a porta 21
tentei desse modo mas não adiantou

cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209 | grep Port

o arquivo está desse modo

[2016-10-01 13:37:03 -0300] info [cphulkd] 4427 Login Blocked: IP reached maximum auth failures [Service]=[pure-ftpd] [Local IP Address]=[192.168.648.847] [Local Port]=[21] [Remote IP Address]=[64.228.180.209] [Authentication Database]=[system] [Username]=[guest] (5/5 failures) (blocked until [Sat Oct 1 16:52:03 2016 UTC/Sat Oct 1 13:52:03 2016 LOCAL])


-------------------------------------------------
Boa noite conectadohost, vamos lá:
LOG="/usr/local/cpanel/logs/cphulkd.log"
NLIP=$(egrep -n '64.228.180.209' "$LOG"|cut -d":" -f1) ##PEGA O Nº DA LINHA QUE TEM O IP
NLPORTA=$((NLIP-1)) #Nº DA LINHA QUE ESPECIFICA A PORTA
awk -F"=" 'NR=='$NLPORTA' {print $4}' "$LOG"|tr -d [:punct:]


Verifique se atente a necessidade . . .
Att.:
marcelo oliver



4. Re: como pegar a porta que um ip tentou brut force em aquivo de logs

marcio mendes mendes
conectadohost

(usa XUbuntu)

Enviado em 02/10/2016 - 07:07h

Olá,
Obrigado pela resposta
mas não funcionou não sei por qual motivo os comandos executa mas não aconteceu nada.
consegui de outro modo fazendo minhas gambiarras, usei o sed pra trocar a palavra Local por quebra de linha
ai ficou mais fácil.


cat /usr/local/cpanel/logs/cphulkd.log | grep 64.228.180.209 | sed 's/Local/\n/g' | grep Port | awk -F"[" '{print $2}' | awk -F"]" '{print "Porta " $1}'

---> Márcio M M <---






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts