- 原创文章转载请注明出处
本文
通过shell对Nginx日志分析实现简单的欺诈技术、蜜罐技术
什么是蜜罐技术?
本质上是一种对攻击方进行引诱然后欺骗的技术
蜜罐技术可以干什么?
可以对黑客进行欺骗,防御,攻击
环境
nginx
dama.php #通过后门文件引诱黑客
目的
对其IP拉入 iptables 黑名单
那该如何去做?
vim poneypot.sh
#!/bin/bash
nginxlog='/data/wwwlogs/access_nginx.log'
nginxlogbak='/data/wwwlogs/honeypot.log'
logs='/root/logs/Choneypot.log'
logss='/root/logs/hk_aces.log'
`echo y | cp $nginxlog $nginxlogbak `
fd=`sudo cat $nginxlogbak | awk '{print $1,$7}' | grep dama| sort | uniq -c |sort -n`
hk=`echo $fd | grep '/wp-content/plugins/jetpack/bin/dama.php?' |awk '{print $2}'`
echo "--------------------------" >> "$logs"
echo `date` >> "$logs"
echo $fd >> "$logs"
echo "--------------------------" >> "$logs"
echo ' ' >> "$logs"
#sed -e "100atdeny $hk ;" '/usr/local/nginx/conf/nginx.conf'
`sed -i '/dama.php/d' $nginxlogbak`
echo ' ' >> "$logss"
echo "--------------------------" >> "$logss"
`iptables -A INPUT -s $hk -j DROP`
echo `date` >> "$logss"
echo $fd >> "$logs"
echo "iptables -A INPUT -s $hk -j DROP" >> "$logss"
echo $fd >> "$logss"
echo "--------------------------" >> "$logss"
echo ' ' >> "$logss"
#find
`sed -e '/iptables -A INPUT -s -j DROP/d' $logss | grep -C 3 iptable > /root/logs/.hk_aces.log.temp`
`echo y | cp /root/logs/.hk_aces.log.temp /root/logs/hk_aces.log`
`echo y | rm /root/logs/.hk_aces.log.temp`
`echo y | cp $nginxlogbak $nginxlog `
echo -e 'Execution complete:' n t$hk
以下为核心详解
nginxlog='/data/wwwlogs/access_nginx.log' #nginx日志存放位置
nginxlogbak='/data/wwwlogs/honeypot.log' #nginx日志备份文件
之所以要备份access_nginx.log 文件是因为后文会对access_nginx.log文件进行修改
因为 access_nginx.log 文件最好不要直接修改,否则会出现一段时间 日志写不进去的情况
---------------------------------------------------------------------------------------------
logs='/root/logs/Choneypot.log' #对程序输出进行记录
logss='/root/logs/hk_aces.log' # 对程序输出进行记录
---------------------------------------------------------------------------------------------
fd=sudo cat $nginxlogbak | awk '{print $1,$7}' | grep dama| sort | uniq -c |sort -n #过滤出有dama存在的日志条
hk=echo $fd | grep '/wp-content/plugins/jetpack/bin/dama.php?' |awk '{print $2}'#过滤出日志条的 IP
-----------------------------------------------------------------------------------------------
sed -i '/dama.php/d' $nginxlogbak #删除存在dama.php的日志条
iptables -A INPUT -s $hk -j DROP #对其 IP 加入iptables防火墙
sed -e '/iptables -A INPUT -s -j DROP/d' $logss | grep -C 3 iptable > /root/logs/.hk_aces.log.temp #过滤出有用的程序输出信息
---------------------------------------------------------------------------------------------
然后对shell文件加入定时任务即可
crontab -e
* * * * /sbin/honeypot.sh
即可!