LINUX.ORG.RU

Нужна помощь в написании простенького bash скрипта

 ,


0

2

Всем привет!

Имеется FreeBSD, Apache и Nginx.

есть файл /etc/nginx/имя_сайта.site.conf
есть лог /var/log/имя_сайта.access_log

в логе есть строчки такого вида:

178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"

нужно отслеживать в логе появление новых строк, содержащих строку «ApacheBench» (или код возврата 403) и банить ip из этой строки путем добавления его к команде deny в файл /etc/nginx/имя_сайта.site.conf:

server {
    deny 178.204.35.111;
...
}

После каждого изменения файла /etc/nginx/имя_сайта.site.conf требуется перегружать nginx командой /etc/rc.d/nginx restart.

вот и все, что должен делать скриптик... Поможете? :)

P.S. Цель скрипта - отражение пианэрских ddos атак))

Ответ на: комментарий от alozovskoy

про fail2ban знаю, но речь идёт о виртуальном хостинге провайдера, где установка дополнительного ПО невозможна. Поэтому и нужен скрипт.

volodlebedev
() автор топика
Ответ на: комментарий от Deleted

я, честно говоря, не понимаю как этот модуль может решить мою проблему. буду признателен за разъяснения. ну а вообще, нужен скрипт))) самое очевидное и просто решение для моей ситуации

volodlebedev
() автор топика
Ответ на: комментарий от volodlebedev

То есть какие-то свои левые скрипты можно притаскивать, а fail2ban вам не поставят? Ну и зачем тогда нужны такие грабли, почему не взять vps (тем более что nginx вы сами конфигурируете)? Но вообще раз права на рестарт nginx вам дали, то может и на управление файрволом права дадут? А собрать fail2ban можно хоть в домашнем каталоге, тут особо рут не нужен.

Ладно, про скрипт - используете include - подключайте список из блокируемых адресов, а основной конфиг не правьте. Для сборка списка пойдет однострочник вида (только уточните как там в основной конфиг nginx инклюдятся клиентские конфиги чтоб не получилось что по маске *.conf вам это deny-список два раза заинклюдит)

grep "ApacheBench\|\"POST / HTTP/1.0\" 403" /var/log/имя_сайта.access_log  | awk '{print "deny "$1}' > /etc/nginx/имя_сайта.deny.conf

Можно поиграться с выборкой и не переписывать файл каждый раз а просто добавлять строки или еще как-то улучшить, но это уже вам решать\делать.

alozovskoy ★★★★★
()
Ответ на: комментарий от alozovskoy
grep "ApacheBench\|\"POST / HTTP/1.0\" 403" /var/log/имя_сайта.access_log  | awk '{print "deny "$1}' > /etc/nginx/имя_сайта.deny.conf

за помощь со скриптом огромное большое спасибо! )
сделал, вроде работает, терь вот самое время про fail2ban подумать.
вы вот писали, что fail2ban можно в домашнем каталоге собрать, не поделитесь ссылкой где можно об этом подробнее почитать.
хотя, думаю, без рута не получится, т.к. рут для управления файрволом нужен.

volodlebedev
() автор топика
Ответ на: комментарий от volodlebedev

Да, без доступа к файрволлу толку от него не будет.

Не знаю как это правильно делать во фряхе. «Классический» вариант это скачать пакет и вот типа такой команды запустить внутри ./configure --prefix=/home/myusername/system/ && make && make install. Потом запускается с учетом указанного префикса, то есть в приведенном случае будет /home/myusername/system/usr/bin/fail2ban-server (в Debian при установке средствами пакетного менеджера бинарник кладется в /usr/bin/fail2ban-server, в FreeBSD опять же это может отличаться).

alozovskoy ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.