Skocz do zawartości
Zaloguj się, aby obserwować  
lukaschemp

[bash] phishing

Polecane posty

Skrypt ten analizuje logi z serwera FTP i jeśli natrafi na pliki ze słowami które są zdefiniowane w skrypcie to wysyła powiadomienie na adres email z informacją na jakim serwerze wykryto potencjalne zagrożenie i log z serwera.

 

#!/bin/bash

  find /var/log/messages  -mtime -1 | xargs egrep -i 'bank|ebay|paypal|visa|mastercard' > ftptmp

  num=`cat ftptmp| wc -l`;

  max=10

  if [ "$num" -gt "$max" ]; then
  server=`hostname`

  cat ftptmp | mail -s "Sprawdź - phishing na $server" twoj@adres.email.pl

  fi

 

Przykładowy adres email:

 

Temat: Sprawdź - phishing na srv1.serwer.pl

Treść:

 

Apr 25 23:47:31 srv1 pure-ftpd: (lukas@domena.pl@127.0.0.1) [NOTICE] /home/lukas/public_html/dupa//bank_dupa.txt uploaded (0 bytes, 0.00KB/sec)

Apr 26 00:01:02 srv1 pure-ftpd: (lukas@domena.pl@127.0.0.1) [NOTICE] /home/lukas/public_html/dupa//mastercard_cipka.txt uploaded (0 bytes, 0.00KB/sec)

Apr 26 00:01:22 srv1 pure-ftpd: (lukas@domena.pl@127.0.0.1) [NOTICE] /home/lukas/public_html/dupa//visatest.txt uploaded (0 bytes, 0.00KB/sec)

 

Może to pomóc w wykryciu wysyłania plików związanych z phishingiem. Najlepiej poszukać w necie scam page (czyli podrobione strony banków) i zobić listę na ich podstawie. Skrypt najlepiej dodać do cron'a.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×