Skocz do zawartości
jmp37

sprawdzanie /var/log i /var/mail/mail - automatyzacja

Polecane posty

Witam,

 

Czy istnieją jakieś dedykowane narzędzia które ułatwią przeszukiwanie logów ?

Czasem zaglądam ale ciężko jest to już ogarnąć ze względu na ilość.

 

Pasowało by mi jakieś zautomatyzowane narzędzie które szybko pokarze mi listę zbanowanych ip i ich prób ataku i tym podobnych cudów.

 

 

 

A tak to na razie poruszam się manualnie albo z pomocą grep.

 

Pozdrawiam

jmp

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A z czego korzystasz do "banowania"?

 

Bo np. fail2ban czy lfd mają w swoich configach opcję wysyłania blokad na maila, i może to być zarówno "normalny" mail, jak i ten systemowy - unixowy. W obydwu przypadkach jest łatwiej niż manualnie grepując logi.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

fail2ban + psad

 

Maile dostaje do /var/mail/mail od psad i pisze tam np

 

 

=-=-=-=-=-=-=-=-=-=-=-= Sun Mar 29 14:52:44 2015 =-=-=-=-=-=-=-=-=-=-=-=


Danger level: [3] (out of 5)

Scanned TCP ports: [1570: 2 packets]
TCP flags: [sYN: 2 packets, Nmap: -sT or -sS]
iptables chain: INPUT (prefix "INPUT DROP"), 1 packets
iptables chain: INPUT (prefix "netfilter:"), 1 packets

Source: 61.183.128.6
DNS: [No reverse dns info available]

Destination: xxx.xx.xxx.x
DNS: x.ip-xxx-80-xxx.eu

Overall scan start: Thu Mar 19 15:14:19 2015
Total email alerts: 140
Complete TCP range: [1105-9064]
Syslog hostname: vpsxxxxx

Global stats: chain: interface: TCP: UDP: ICMP:
INPUT venet0 285 0 0

[+] Whois Information (source IP):
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '61.183.128.0 - 61.183.131.255'

inetnum: 61.183.128.0 - 61.183.131.255
netname: CAPITAL-ONLINE-1
descr: The Internet Service Provider named Capital online
country: CN
admin-c: YZ83-AP
admin-c: ZC77-AP
admin-c: XT6-AP
tech-c: YZ83-AP
tech-c: ZC77-AP
tech-c: XT6-AP
mnt-by: MAINT-CN-CHINANET-HB
status: ASSIGNED NON-PORTABLE
changed: zhangyl@hbdcb.net.cn 20020108
changed: hm-changed@apnic.net 20040927
source: APNIC

person: Xiaowei Tu
address: No.1 Hongshan Road,Wuhan ,China
country: CN
phone: +86-27-87897599
fax-no: +86-27-87894099
e-mail: tuxw@public.wh.hb.cn
nic-hdl: XT6-AP
mnt-by: MAINT-CN-CHINANET-HB
changed: tuxw@public.wh.hb.cn 20010726
source: APNIC

person: YanLing Zhang
nic-hdl: YZ83-AP
e-mail: ip_admin_hb@public.wh.hb.cn
address: 8th floor of JinGuang Building
address: 232# of Macao Road
address: HanKou Wuhan Hubei Province
address: P.R.China
phone: +86-27-65655699
fax-no: +86-27-65654499
country: CN
changed: zhangyl68@public.wh.hb.cn 20031117
mnt-by: MAINT-CN-CHINANET-HB
source: APNIC

person: Zhengding Cai
address: 8th floor of JinGuang Building
address: 232# of Macao Road
address: HanKou Wuhan Hubei Province
address: P.R.China
country: CN
phone: +86-27-82862199
fax-no: +86-27-82861499
e-mail: caizhengding@21cn.com
nic-hdl: ZC77-AP
mnt-by: MAINT-CN-CHINANET-HB
changed: caizhengding@21cn.com 20010306
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

 

 

Mnie interesuje coś z łatwym podziałem na skanowanie osobno, próba łamania hasła osobno, itd.

 

Niby na razie mam 684814 lini w pliku mail niby nie wiele ale stale rośnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Za dużo zbędnych informacji, nie wiem czy psad ma takie możliwości, ale zmniejszyłbym verbosity, zarówno mój fail2ban jak i lfd ograniczają się do pojedynczych maili z tym co było próbowane, i ew. kilku linii w logach które to potwierdzają (o ile tego chcesz).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Co do ilości informacji to jest dla mnie ok. Mi chodzi o jakieś narzędzie którym teraz to łatwo ogarnę i szybko zobaczę te najgroźniejsze ataki bo moim zdanie skanowanie portów do takich nie należy. A dopiero jak się będe zagłębiał w dany atak takie szczegóły jak ma psad się przydadzą.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×