[Script Shell] Afficher les tentatives d'intrusion ssh chaque jour

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [Script Shell] Afficher les tentatives d'intrusion ssh chaque jour

ceyquem

E falso sequitur quodlibet

Bonjour,

j'aimerai faire un script shell qui, exécuté chaque soir, me permette d'envoyer un email contenant la liste des attaques tentées sur sshd dans la journée. Pour cela, je veux lire le fichier /var/log/auth.log de cette façon :

cat /var/log/auth.log | grep "authentication failure"

mais j'aimerai en fait avoir ceci (exemple pour aujourd'hui) :

cat /var/log/auth.log | grep "authentication failure" | grep "Jun 27"

alors je pensais me servir de date : qui renvoie 'jun 27', en minuscules

date +"%b %d"

ma question est : comment stocker dans une variable le résultat de date
ainsi tapé pour ensuite appeler la commande cat / grep idoine ? j'ai bien trouvé
pas mal de doc sur les variables script/shell mais pas d'exemples avec stockage
du résultat d'une commande.

Merci pour vos indications

Publicité

l0ky

en bash ca doit donenr quelque chose comme ca:

la_date=`date`

Message édité par l0ky le 27-06-2005 à 18:06:32

ceyquem

E falso sequitur quodlibet

ben non dans ce cas le contenu de la variable est 'date' et non 'jun 27'

l0ky

nan mais tu mets des "antiquote" ALTGR+7

ceyquem

E falso sequitur quodlibet

ah ok pas mal !!
j'avais pas remarqué cette subtilité dans toutes les docs que j'avais lues
merci

Zaib3k

utilise $() à la place de ``.

---------------
Le droit à la différence s'arrête là où ça commence à m'emmerder sérieusement.

budo-ka

Un petit bout script tout droit repiqué d'un linux magazine.
A toi de l'adapter suivant tes exigences.

Code :

#! /bin/bash
clear
#petite astuce sympa pour éviter d'avoir des fichiers temporaires trop bavards!
umask 077
TEMPFILE=`mktemp /tmp/server_check.tmp.XXXXXXXX`
trap "/bin/rm -f $TEMPFILE" EXIT
#Stockage de la variable date dans DATUM
DATUM=`date +'%b %e'`
#On recherche les occurrences FAILED et root dans le /var/log/messages
#à adapter suivant l'os et le type d'enregistrement des logs
cat /var/log/messages | grep "$DATUM" | grep "FAILED" | grep "root" > $TEMPFILE
FAILED_ROOT=`cat $TEMPFILE | wc -l`
if [ $FAILED_ROOT -ge 10 ] ; then
#si il y a plus de 10 tentatives de logging root ratées, on peut s'affoler
echo "### WARNING: Discovered $FAILED_ROOT failed ROOT loging! ###"
cat $TEMPFILE
elif [ $FAILED_ROOT -ge 1 ] ; then
#si il y en a qu'une, on s'inquiète un peu
echo "- Discovered $FAILED_ROOT failed ROOT loging:"
cat $TEMPFILE
else
#sinon rien à signaler
echo "- No suspicious root logging found"
fi
#vidange du fichier temporaire,
#droit d'auteur et sortie en beauté
rm $TEMPFILE
echo
echo "
<Sample script for monitoring linux server>
Initial sample script by Heinle Peer, Linux Magazine - December 2004
Adapted by budo-ka - 2004"
echo
exit 0

En espérant ne pas t'avoir trop maché le travail, tout comme on l'avait fait pour moi

Message édité par budo-ka le 28-06-2005 à 05:02:37

ceyquem

E falso sequitur quodlibet

wow merci pour cet exemple
je vais regarder de près comment il marche et l'adapter.
Bonne journée !

trakto

Salut,

Il faudrait que tu rajoutes quand meme une regle du style :
"Illegal user **** from"

C'est ce que me renvoie principalement logcheck.
++

Message édité par trakto le 28-06-2005 à 11:10:17

Klaimant

regarde du coté de logcheck

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Publicité

e_esprit

Logwatch fait ca tres bien aussi :whistle:

ceyquem

E falso sequitur quodlibet

J'ai un peu regardé logcheck et compagnie, mais je préfère mon tit script qui me fait un rapport journalier des attaques sur les services sshd/vsftpd/apache :

Pour les intéressés : voili mon script :

Code :

#!/bin/bash
aujourdhui=`date +"%b %d"`
touch /var/log/vsftpd.log
touch /var/log/auth.log
touch /var/log/apache/error.log
echo "Rapport d'intrusions détectées du $aujourdhui" > framed.txt
echo "----------------------------------------" >> framed.txt
echo "" >> framed.txt
echo ".:: VSFTPD [port 21] ::." >> framed.txt
cat /var/log/vsftpd.log | grep "FAIL" | grep -i "$aujourdhui" >> framed.txt
echo "" >> framed.txt
echo ".:: SSHD [port 22] ::." >> framed.txt
cat /var/log/auth.log | grep "sshd" | grep "Failed" | grep -i "$aujourdhui" >> framed.txt
cat /var/log/auth.log | grep "sshd" | grep "Excess" | grep -i "$aujourdhui" >> framed.txt
cat /var/log/auth.log | grep "sshd" | grep "Invalid" | grep -i "$aujourdhui" >> framed.txt
cat /var/log/auth.log | grep "sshd" | grep "failure" | grep -i "$aujourdhui" >> framed.txt
echo "" >> framed.txt
echo ".:: HTTPD [port 80] ::." >> framed.txt
cat /var/log/apache/error.log | grep "error" | grep -i "$aujourdhui" >> framed.txt
echo "" >> framed.txt
echo "---------------" >> framed.txt
echo "Fin du rapport." >> framed.txt
cat framed.txt | mailx -s "[xxx] Bulletin de securite" monemail@monprovider
rm framed.txt
exit 0

Message édité par ceyquem le 28-06-2005 à 19:58:22

M300A

Sehr hopfen, vielen IBU, wow!

Une question, à quoi servent les touch au début :??:

Tu devrais mettre ton framed.txt dans /tmp/ ca évitera d'avoir un vieux fichiers qui traine on ne sait trop ou

ceyquem

E falso sequitur quodlibet

le touch c'est à cause de logrotate : il se peut que l'un des fichiers de log n'existe pas, avec touch je suis sur qu'il n'y aura pas d'erreur.

pour le /tmp/ ouais, c'est vrai

FORUM HardWare.fr

Linux et OS Alternatifs

Codes et scripts

[Script Shell] Afficher les tentatives d'intrusion ssh chaque jour

Sujets relatifs
Problème mise à jour MySQL	[debian] mise a jour
lancer un script depuis serveur	lancer un script depuis serveur
Alsa ne fonctionne plus depuis mise à jour Fedora	Script Unix
[KDE 3.4] afficher les icones des fenêtres dans la barre des tâches	[bash] Retirer des droits d'un user chrooté root de sa prison ?
FTP script	[Debian] Après une mise à jour, gnome-panel à disparue !
Plus de sujets relatifs à : [Script Shell] Afficher les tentatives d'intrusion ssh chaque jour

Page générée en 0.091 secondes