Нужна помощь в написании простенького bash скрипта

0

2

Всем привет!

Имеется FreeBSD, Apache и Nginx.

есть файл /etc/nginx/имя_сайта.site.conf
есть лог /var/log/имя_сайта.access_log

в логе есть строчки такого вида:

178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"
178.204.35.111 - - [27/Mar/2016:12:47:41 +0300] "POST / HTTP/1.0" 403 1480 "-" "ApacheBench/2.3"

нужно отслеживать в логе появление новых строк, содержащих строку «ApacheBench» (или код возврата 403) и банить ip из этой строки путем добавления его к команде deny в файл /etc/nginx/имя_сайта.site.conf:

server {
    deny 178.204.35.111;
...
}

После каждого изменения файла /etc/nginx/имя_сайта.site.conf требуется перегружать nginx командой /etc/rc.d/nginx restart.

вот и все, что должен делать скриптик... Поможете? :)

P.S. Цель скрипта - отражение пианэрских ddos атак))

Ссылка

←	Функция, принимающая любую последовательность?

gc и gcc-go рядом

→

Пионерским админам

http://nginx.org/ru/docs/beginners_guide.html#control

reload — перезагрузка конфигурационного файла

это чтобы не перезапускать, блин, сервер. а то у тебя от перезапуска получается больше нагрузка чем от пионеров

Deleted
(27.03.16 22:10:08 MSK)

Почему бы не взять fail2ban для такой задачи и вообще не пропускать досящих пользователей к nginx?

alozovskoy ★★★★★
(27.03.16 22:30:53 MSK)

+1 к Fail2ban.

backbone ★★★★★
(27.03.16 22:38:53 MSK)

Ссылка

ну ни фига себе. Не слишком ли жирно перезапускать сервер на каждый плохой запрос?

~~filequest~~
(27.03.16 23:12:15 MSK)

Ответ на: комментарий от alozovskoy 27.03.16 22:30:53 MSK

fail2ban это же защита от брутфорса, а не от ddos-атак

anonymous
(27.03.16 23:36:24 MSK)

Ответ на: комментарий от anonymous 27.03.16 23:36:24 MSK

Это тулза, которая парсит логи и добавляет правила в файрволл, так что использовать можно как угодно.

alozovskoy ★★★★★
(27.03.16 23:38:43 MSK)

Ссылка

или код возврата 403

Кстати, а че это ты решил банить по IP всех кто получил 403? А что твой сервак отдает 403 только в случае этой дос атаки, и больше никогда? А если обычный юзер ошибется адресом, и получит 403, ты его тоже банишь?

~~filequest~~
(27.03.16 23:56:45 MSK)

Ответ на: комментарий от alozovskoy 27.03.16 22:30:53 MSK

про fail2ban знаю, но речь идёт о виртуальном хостинге провайдера, где установка дополнительного ПО невозможна. Поэтому и нужен скрипт.

volodlebedev
(28.03.16 01:50:18 MSK) автор топика

Ответ на: комментарий от volodlebedev 28.03.16 01:50:18 MSK

что даже ngx_http_limit_req_module запрещен?

Deleted
(28.03.16 01:53:11 MSK)

Ответ на: комментарий от Deleted 28.03.16 01:53:11 MSK

я, честно говоря, не понимаю как этот модуль может решить мою проблему. буду признателен за разъяснения. ну а вообще, нужен скрипт))) самое очевидное и просто решение для моей ситуации

volodlebedev
(28.03.16 02:36:14 MSK) автор топика

Ссылка

Ответ на: комментарий от volodlebedev 28.03.16 01:50:18 MSK

То есть какие-то свои левые скрипты можно притаскивать, а fail2ban вам не поставят? Ну и зачем тогда нужны такие грабли, почему не взять vps (тем более что nginx вы сами конфигурируете)? Но вообще раз права на рестарт nginx вам дали, то может и на управление файрволом права дадут? А собрать fail2ban можно хоть в домашнем каталоге, тут особо рут не нужен.

Ладно, про скрипт - используете include - подключайте список из блокируемых адресов, а основной конфиг не правьте. Для сборка списка пойдет однострочник вида (только уточните как там в основной конфиг nginx инклюдятся клиентские конфиги чтоб не получилось что по маске *.conf вам это deny-список два раза заинклюдит)

grep "ApacheBench\|\"POST / HTTP/1.0\" 403" /var/log/имя_сайта.access_log  | awk '{print "deny "$1}' > /etc/nginx/имя_сайта.deny.conf

Можно поиграться с выборкой и не переписывать файл каждый раз а просто добавлять строки или еще как-то улучшить, но это уже вам решать\делать.

alozovskoy ★★★★★
(28.03.16 07:19:22 MSK)

Есть готовые решения в портах. +1 к fail2ban.

IPR ★★★★★
(28.03.16 11:23:51 MSK)

Ссылка

ТС, какие ddos-атаки, ты тему называть не можешь правильно! Тебе в интернете не место.

На, держи: «Блокирование ip после попадания строки в лог nginx»

JANB ★
(29.03.16 05:14:53 MSK)

Ссылка

Используй fail2ban. Если хостер не дает - меняй хостера. К черту костыли, используй готовые и проверенные решения.

JANB ★
(29.03.16 05:15:47 MSK)

Ответ на: Пионерским админам от Deleted 27.03.16 22:10:08 MSK

reload — перезагрузка конфигурационного файла
это чтобы не перезапускать, блин, сервер. а то у тебя от перезапуска получается больше нагрузка чем от пионеров

да, конечно reload. В контексте задачи по написанию скрипта это не суть важно. В скрипте я бы конечно же написал reload, а не restart. Но, спасибо за замечание.

volodlebedev
(29.03.16 11:41:59 MSK) автор топика

Ссылка

Ответ на: комментарий от filequest 27.03.16 23:12:15 MSK

ну ни фига себе. Не слишком ли жирно перезапускать сервер на каждый плохой запрос?

жирно. ответил выше))

volodlebedev
(29.03.16 11:42:49 MSK) автор топика

Ссылка

Ответ на: комментарий от filequest 27.03.16 23:56:45 MSK

Кстати, а че это ты решил банить по IP всех кто получил 403? А что твой сервак отдает 403 только в случае этой дос атаки, и больше никогда? А если обычный юзер ошибется адресом, и получит 403, ты его тоже банишь?

в конфиге nginx у меня просто правило стояло:

    if ($http_user_agent ~ apachebench ) {
        return 403;
    }

поэтому 403 это просто временный костыль был... потом 403 можно поменять на что угодно

volodlebedev
(29.03.16 11:48:03 MSK) автор топика

Ссылка

Ответ на: комментарий от alozovskoy 28.03.16 07:19:22 MSK

grep "ApacheBench\|\"POST / HTTP/1.0\" 403" /var/log/имя_сайта.access_log  | awk '{print "deny "$1}' > /etc/nginx/имя_сайта.deny.conf

за помощь со скриптом огромное большое спасибо! )
сделал, вроде работает, терь вот самое время про fail2ban подумать.
вы вот писали, что fail2ban можно в домашнем каталоге собрать, не поделитесь ссылкой где можно об этом подробнее почитать.
хотя, думаю, без рута не получится, т.к. рут для управления файрволом нужен.

volodlebedev
(29.03.16 11:53:13 MSK) автор топика

Ответ на: комментарий от JANB 29.03.16 05:15:47 MSK

Используй fail2ban. Если хостер не дает - меняй хостера. К черту костыли, используй готовые и проверенные решения.

не получится поменять, предоплату за год вперед сделали, возврата денег нет, сумма большая

volodlebedev
(29.03.16 11:58:42 MSK) автор топика

Ссылка

Ответ на: комментарий от volodlebedev 29.03.16 11:53:13 MSK

Да, без доступа к файрволлу толку от него не будет.

Не знаю как это правильно делать во фряхе. «Классический» вариант это скачать пакет и вот типа такой команды запустить внутри ./configure --prefix=/home/myusername/system/ && make && make install. Потом запускается с учетом указанного префикса, то есть в приведенном случае будет /home/myusername/system/usr/bin/fail2ban-server (в Debian при установке средствами пакетного менеджера бинарник кладется в /usr/bin/fail2ban-server, в FreeBSD опять же это может отличаться).

alozovskoy ★★★★★
(29.03.16 12:05:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Функция, принимающая любую последовательность?

Development

gc и gcc-go рядом

→

Пионерским админам

Похожие темы