Denuncie   Favoritos   Indicar  

01 02

AJUDA COM SCRIPT [RESOLVIDO]

1. AJUDA COM SCRIPT [RESOLVIDO]

Célio Junior
celiomagalhaesjr
(usa Ubuntu)

Enviado em 29/11/2016 - 15:17h

Gostaria de uma ajuda, não sou bom com scripts (pessimo na verdade) gostaria que alguem com alma bondosa me ajudasse:
Preciso de um script que faça o seguinte:
1: Leia a saida do comando 
tail -f /var/log/squid3/access.log

Pegue sua saida, filtre o ip que tentou sem sucesso por mais de 3x seguidas se conectar e adicione a uma lista de bloqueio no IPTables.


Será que é possivel?

Desde já muito obrigado

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 29/11/2016 - 19:52h

    celiomagalhaesjr escreveu:

    msoliver escreveu:

    celiomagalhaesjr escreveu:
    Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.


    Celio, de "BATE e PRONTO", tenho isto:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' LOG_SQUID|sort -t"|" -k2|uniq -c
    
      4 IP: 113.31.28.44 
    
      1 IP: 125.106.63.107 
    
      3 IP: 218.93.207.189 
    
      2 IP: 222.186.15.162 
    
      5 IP: 27.148.156.85 
    
     42 IP: 45.63.52.113 
    
      1 IP: 60.168.241.196

    Filtrei por "TCP_DENIED(_ABORTED)?" e contei as incidencias . . .
    LOG_SQUID é o log que voce postou.
    De uma verificada...

    marcelo oliver


    O problema é que os ataques são constantes, o log que postei não é 0,1% do log real rsrs
    eles estão em 
    /var/log/squid3/access.log
    queria algo que os enviasse para 
    iptables -I INPUT -s $IP_AQUI -j DROP


    ----------------------------------------------------
    Celio, Execute o comando abaixo no seu PC:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' /var/log/squid3/access.log|sort -n -t"|" -k2|uniq -c|awk '$1>=3 {printf "iptables -I INPUT -s %s -j DROP\n" ,$3}'



    Marcelo oliver



    0 0
  • Quote

    • 3. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Fabiano
    fpires
    (usa Debian)

    Enviado em 29/11/2016 - 16:59h

    Procure pelo programa fail2ban, deve resolver seu problema

    0 0
  • Quote

    • 4. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Célio Junior
    celiomagalhaesjr
    (usa Ubuntu)

    Enviado em 29/11/2016 - 17:06h

    fpires escreveu:

    Procure pelo programa fail2ban, deve resolver seu problema


    infelizmente o mesmo nao me ajudou


    0 0
  • Quote

    • 5. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 29/11/2016 - 18:10h

    celiomagalhaesjr escreveu:

    Gostaria de uma ajuda, não sou bom com scripts (pessimo na verdade) gostaria que alguem com alma bondosa me ajudasse:
    Preciso de um script que faça o seguinte:
    1: Leia a saida do comando 
    tail -f /var/log/squid3/access.log

    Pegue sua saida, filtre o ip que tentou sem sucesso por mais de 3x seguidas se conectar e adicione a uma lista de bloqueio no IPTables.

    Será que é possivel?
    Desde já muito obrigado



    Celio, boa tarde.
    Ao inves de MONITORAR o log com o comando:
    tail -f /var/log/squid3/access.log
    Poderia MONITORA-LO, pelo Nº de linhas
    Devo ter um script desse . . . Se interessar . . .

    Em tempo . . .
    Esta "buscando" por tentativas de conexão?


    No aguardo.
    Marcelo Oliver



    0 0
  • Quote

    • 6. Re: AJUDA COM SCRIPT

    Célio Junior
    celiomagalhaesjr
    (usa Ubuntu)

    Enviado em 29/11/2016 - 18:16h

    msoliver escreveu:

    celiomagalhaesjr escreveu:

    Gostaria de uma ajuda, não sou bom com scripts (pessimo na verdade) gostaria que alguem com alma bondosa me ajudasse:
    Preciso de um script que faça o seguinte:
    1: Leia a saida do comando 
    tail -f /var/log/squid3/access.log

    Pegue sua saida, filtre o ip que tentou sem sucesso por mais de 3x seguidas se conectar e adicione a uma lista de bloqueio no IPTables.

    Será que é possivel?
    Desde já muito obrigado



    Celio, boa tarde.
    Ao inves de MONITORAR o log com o comando:
    tail -f /var/log/squid3/access.log
    Poderia MONITORA-LO, pelo Nº de linhas
    Devo ter um script desse . . . Se interessar . . .

    Em tempo . . .
    Esta "buscando" por tentativas de conexão?




    No aguardo.
    Marcelo Oliver



    salve Marcelo, vc já me salvou uma vez rsrs
    O que acontece estou sofrendo muitos ataques na rede, queria bloquear esses acessos, geralmente quando as pessoas cadastradas logam no meu server nao tenho reincidente de logs, porem esses ataques sujam meus logs, pensei em algo que filtrasse esses ips e bloqueasse os mesmos



    81.23.4.173
    183.131.85.48
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99


    esses são os ultimos, como pode ver sao repetitivos

    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:58 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:57:58 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:58 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 218.93.207.189 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.91maisuige.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 222.186.15.162 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.xiaoping6.com/index.php | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 125.106.63.107 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://61.147.73.30:8001/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 222.186.15.162 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.xiaoping6.com/index.php | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 218.93.207.189 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.91maisuige.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 60.168.241.196 | Data: 29/Nov/2016:11:58:00 -0500 | Método: CONNECT | URL: login.leiting.com:443 | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 218.93.207.189 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.91maisuige.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED


    0 0
  • Quote

    • 7. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 29/11/2016 - 18:37h

    celiomagalhaesjr escreveu:

    msoliver escreveu:

    celiomagalhaesjr escreveu:

    Gostaria de uma ajuda, não sou bom com scripts (pessimo na verdade) gostaria que alguem com alma bondosa me ajudasse:
    Preciso de um script que faça o seguinte:
    1: Leia a saida do comando 
    tail -f /var/log/squid3/access.log

    Pegue sua saida, filtre o ip que tentou sem sucesso por mais de 3x seguidas se conectar e adicione a uma lista de bloqueio no IPTables.

    Será que é possivel?
    Desde já muito obrigado



    Celio, boa tarde.
    Ao inves de MONITORAR o log com o comando:
    tail -f /var/log/squid3/access.log
    Poderia MONITORA-LO, pelo Nº de linhas
    Devo ter um script desse . . . Se interessar . . .

    Em tempo . . .
    Esta "buscando" por tentativas de conexão?




    No aguardo.
    Marcelo Oliver



    salve Marcelo, vc já me salvou uma vez rsrs
    O que acontece estou sofrendo muitos ataques na rede, queria bloquear esses acessos, geralmente quando as pessoas cadastradas logam no meu server nao tenho reincidente de logs, porem esses ataques sujam meus logs, pensei em algo que filtrasse esses ips e bloqueasse os mesmos



    81.23.4.173
    183.131.85.48
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99
    187.70.244.99


    esses são os ultimos, como pode ver sao repetitivos

    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:58 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:57:58 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:58 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 218.93.207.189 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.91maisuige.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 222.186.15.162 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.xiaoping6.com/index.php | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 125.106.63.107 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://61.147.73.30:8001/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 222.186.15.162 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.xiaoping6.com/index.php | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:57:59 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 218.93.207.189 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.91maisuige.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 60.168.241.196 | Data: 29/Nov/2016:11:58:00 -0500 | Método: CONNECT | URL: login.leiting.com:443 | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 113.31.28.44 | Data: 29/Nov/2016:11:58:00 -0500 | Método: GET | URL: http://www.tianma168.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 218.93.207.189 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.91maisuige.com/ | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED
    
IP: 27.148.156.85 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://hbhx.vv1999.com/login | HTTP: 403 | SQUID: TCP_DENIED
    
IP: 45.63.52.113 | Data: 29/Nov/2016:11:58:01 -0500 | Método: GET | URL: http://www.jd1977.com/ | HTTP: 403 | SQUID: TCP_DENIED_ABORTED


    Esses IP's (CAMPO 01) são da sua rede?
    E vc quer que após 03 "SQUID: TCP_DENIED_ABORTED", o referido IP seja INCLUIDO na lista de bloqueio, é isso?

    mso




    0 0
  • Quote

    • 8. Re: AJUDA COM SCRIPT

    Célio Junior
    celiomagalhaesjr
    (usa Ubuntu)

    Enviado em 29/11/2016 - 18:41h

    Esses IP's (CAMPO 01) são da sua rede?
    E vc quer que após 03 "SQUID: TCP_DENIED_ABORTED", o referido IP seja INCLUIDO na lista de bloqueio, é isso?

    mso


    Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.

    0 0
  • Quote

    • 9. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 29/11/2016 - 19:12h

    celiomagalhaesjr escreveu:
    Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.


    Celio, de "BATE e PRONTO", tenho isto:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' LOG_SQUID|sort -t"|" -k2|uniq -c
    
      4 IP: 113.31.28.44 
    
      1 IP: 125.106.63.107 
    
      3 IP: 218.93.207.189 
    
      2 IP: 222.186.15.162 
    
      5 IP: 27.148.156.85 
    
     42 IP: 45.63.52.113 
    
      1 IP: 60.168.241.196

    Filtrei por "TCP_DENIED(_ABORTED)?" e contei as incidencias . . .
    LOG_SQUID é o log que voce postou.
    De uma verificada...

    marcelo oliver

    0 0
  • Quote

    • 10. Re: AJUDA COM SCRIPT

    Célio Junior
    celiomagalhaesjr
    (usa Ubuntu)

    Enviado em 29/11/2016 - 19:34h

    msoliver escreveu:

    celiomagalhaesjr escreveu:
    Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.


    Celio, de "BATE e PRONTO", tenho isto:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' LOG_SQUID|sort -t"|" -k2|uniq -c
    
      4 IP: 113.31.28.44 
    
      1 IP: 125.106.63.107 
    
      3 IP: 218.93.207.189 
    
      2 IP: 222.186.15.162 
    
      5 IP: 27.148.156.85 
    
     42 IP: 45.63.52.113 
    
      1 IP: 60.168.241.196

    Filtrei por "TCP_DENIED(_ABORTED)?" e contei as incidencias . . .
    LOG_SQUID é o log que voce postou.
    De uma verificada...

    marcelo oliver


    O problema é que os ataques são constantes, o log que postei não é 0,1% do log real rsrs
    eles estão em 
    /var/log/squid3/access.log
    queria algo que os enviasse para 
    iptables -I INPUT -s $IP_AQUI -j DROP


    0 0
  • Quote

    • 11. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Célio Junior
    celiomagalhaesjr
    (usa Ubuntu)

    Enviado em 29/11/2016 - 19:58h

    msoliver escreveu:

    celiomagalhaesjr escreveu:

    msoliver escreveu:

    celiomagalhaesjr escreveu:
    Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.


    Celio, de "BATE e PRONTO", tenho isto:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' LOG_SQUID|sort -t"|" -k2|uniq -c
    
      4 IP: 113.31.28.44 
    
      1 IP: 125.106.63.107 
    
      3 IP: 218.93.207.189 
    
      2 IP: 222.186.15.162 
    
      5 IP: 27.148.156.85 
    
     42 IP: 45.63.52.113 
    
      1 IP: 60.168.241.196

    Filtrei por "TCP_DENIED(_ABORTED)?" e contei as incidencias . . .
    LOG_SQUID é o log que voce postou.
    De uma verificada...

    marcelo oliver


    O problema é que os ataques são constantes, o log que postei não é 0,1% do log real rsrs
    eles estão em 
    /var/log/squid3/access.log
    queria algo que os enviasse para 
    iptables -I INPUT -s $IP_AQUI -j DROP


    ----------------------------------------------------
    Celio, Execute o comando abaixo no seu PC:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' /var/log/squid3/access.log|sort -n -t"|" -k2|uniq -c|awk '$1>=3 {printf "iptables -I INPUT -s %s -j DROP\n" ,$3}'



    Essa é a saida do mesmo 

    iptables -I INPUT -s 103.213.237.156 -j DROP
    
iptables -I INPUT -s 103.37.150.186 -j DROP
    
iptables -I INPUT -s 115.159.82.138 -j DROP
    
iptables -I INPUT -s 116.213.72.11 -j DROP
    
iptables -I INPUT -s 183.131.83.134 -j DROP
    
iptables -I INPUT -s 187.70.226.121 -j DROP
    
iptables -I INPUT -s 187.70.229.73 -j DROP
    
iptables -I INPUT -s 187.70.234.56 -j DROP
    
iptables -I INPUT -s 218.66.74.39 -j DROP
    
iptables -I INPUT -s 218.66.74.68 -j DROP
    
iptables -I INPUT -s 43.241.217.47 -j DROP



    Marcelo oliver






    0 0
  • Quote

    • 12. Re: AJUDA COM SCRIPT [RESOLVIDO]

    Marcelo Oliver
    msoliver
    (usa Debian)

    Enviado em 29/11/2016 - 20:06h

    celiomagalhaesjr escreveu:

    msoliver escreveu:

    celiomagalhaesjr escreveu:

    msoliver escreveu:

    celiomagalhaesjr escreveu:
    Os TCP_DENIED e os TCP_DENIED_ABORTED e de preferencia que envie para lista de bloqueio do IP Tables e se possivel, que gerasse um log para se ter um controle.


    Celio, de "BATE e PRONTO", tenho isto:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' LOG_SQUID|sort -t"|" -k2|uniq -c
    
      4 IP: 113.31.28.44 
    
      1 IP: 125.106.63.107 
    
      3 IP: 218.93.207.189 
    
      2 IP: 222.186.15.162 
    
      5 IP: 27.148.156.85 
    
     42 IP: 45.63.52.113 
    
      1 IP: 60.168.241.196

    Filtrei por "TCP_DENIED(_ABORTED)?" e contei as incidencias . . .
    LOG_SQUID é o log que voce postou.
    De uma verificada...

    marcelo oliver


    O problema é que os ataques são constantes, o log que postei não é 0,1% do log real rsrs
    eles estão em 
    /var/log/squid3/access.log
    queria algo que os enviasse para 
    iptables -I INPUT -s $IP_AQUI -j DROP


    ----------------------------------------------------
    Celio, Execute o comando abaixo no seu PC:
    awk -F"|" '/TCP_DENIED(_ABORTED)?/ {print $1}' /var/log/squid3/access.log|sort -n -t"|" -k2|uniq -c|awk '$1>=3 {printf "iptables -I INPUT -s %s -j DROP\n" ,$3}'



    Essa é a saida do mesmo 

    iptables -I INPUT -s 103.213.237.156 -j DROP
    
iptables -I INPUT -s 103.37.150.186 -j DROP
    
iptables -I INPUT -s 115.159.82.138 -j DROP
    
iptables -I INPUT -s 116.213.72.11 -j DROP
    
iptables -I INPUT -s 183.131.83.134 -j DROP
    
iptables -I INPUT -s 187.70.226.121 -j DROP
    
iptables -I INPUT -s 187.70.229.73 -j DROP
    
iptables -I INPUT -s 187.70.234.56 -j DROP
    
iptables -I INPUT -s 218.66.74.39 -j DROP
    
iptables -I INPUT -s 218.66.74.68 -j DROP
    
iptables -I INPUT -s 43.241.217.47 -j DROP





    Agora é só incluir "essas regras" no "iptables" . . .
    Posta onde essas regras devem ser incluidas . . .

    mso



    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Ubuntu não sai som (1)

    SysAdmin ou DevOps: Qual curso inicial pra essa área? (0)

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)

    Setxkb persistente (1)

    Preciso resolver um erro de DPKG (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: