Nginx日志分析实现欺诈技术

  • 转载请注明出处

本文

通过shell对Nginx日志分析实现简单的欺诈技术、蜜罐技术

什么是蜜罐技术?

本质上是一种对攻击方进行引诱然后欺骗的技术

蜜罐技术可以干什么?

可以对黑客进行欺骗,防御,攻击

环境

nginx

dama.php #通过后门文件引诱黑客

目的

对其IP拉入 iptables 黑名单

那该如何去做?

vim poneypot.sh

#!/bin/bash
nginxlog='/data/wwwlogs/access_nginx.log'
nginxlogbak='/data/wwwlogs/honeypot.log'
logs='/root/logs/Choneypot.log'
logss='/root/logs/hk_aces.log'

`echo y | cp $nginxlog $nginxlogbak `
fd=`sudo cat $nginxlogbak | awk  '{print $1,$7}' | grep dama| sort  | uniq -c |sort -n`
hk=`echo $fd | grep '/wp-content/plugins/jetpack/bin/dama.php?' |awk '{print $2}'`

echo "--------------------------" >> "$logs"
echo `date` >> "$logs"
echo $fd >> "$logs"
echo "--------------------------" >> "$logs"
echo ' ' >> "$logs"

#sed -e  "100a\\\t\\deny $hk ;" '/usr/local/nginx/conf/nginx.conf'
`sed -i '/dama.php/d' $nginxlogbak`

echo ' ' >> "$logss"
echo "--------------------------" >> "$logss"
`iptables  -A INPUT  -s $hk -j DROP`
echo `date` >> "$logss"
echo $fd >> "$logs"
echo "iptables  -A INPUT  -s $hk -j DROP" >> "$logss"
echo $fd >> "$logss"
echo "--------------------------" >> "$logss"
echo ' ' >> "$logss"

#find
`sed -e '/iptables  -A INPUT  -s  -j DROP/d' $logss | grep  -C 3 iptable > /root/logs/.hk_aces.log.temp`
`echo y | cp /root/logs/.hk_aces.log.temp /root/logs/hk_aces.log`
`echo y | rm /root/logs/.hk_aces.log.temp`

`echo y | cp $nginxlogbak $nginxlog `
echo -e 'Execution complete:' \\n \\t$hk 

以下为核心详解

nginxlog='/data/wwwlogs/access_nginx.log' #nginx日志存放位置

nginxlogbak='/data/wwwlogs/honeypot.log' #nginx日志备份文件

之所以要备份access_nginx.log 文件是因为后文会对access_nginx.log文件进行修改

因为 access_nginx.log 文件最好不要直接修改,否则会出现一段时间 日志写不进去的情况

——————————————————————————————————————–

logs='/root/logs/Choneypot.log' #对程序输出进行记录

logss='/root/logs/hk_aces.log' # 对程序输出进行记录

——————————————————————————————————————–

fd=sudo cat $nginxlogbak | awk '{print $1,$7}' | grep dama| sort | uniq -c |sort -n #过滤出有dama存在的日志条

hk=echo $fd | grep '/wp-content/plugins/jetpack/bin/dama.php?' |awk '{print $2}'#过滤出日志条的 IP

——————————————————————————————————————–

sed -i '/dama.php/d' $nginxlogbak #删除存在dama.php的日志条

iptables -A INPUT -s $hk -j DROP #对其 IP 加入iptables防火墙

sed -e '/iptables -A INPUT -s -j DROP/d' $logss | grep -C 3 iptable > /root/logs/.hk_aces.log.temp #过滤出有用的程序输出信息

——————————————————————————————————————–

然后对shell文件加入定时任务即可

crontab -e

* * * * /sbin/honeypot.sh

即可!

发表评论

电子邮件地址不会被公开。 必填项已用*标注