Re: SSH-BruteForce-Attacken (Skript1,2,header,body)
Hallo Liste,
Angekündigte Skripte:
>>klar, warum nicht. Kannst du mir das Script mal zumailen? Würde mich
>>auch mal interessieren.
> bin derzeit etwas in Stressl :-)
[..]
> Ich denke, ich werde mich heute abend an die Überarbeitung des Skriptes
> setzen es dann hier posten :-)
Meine Lösungen sind noch immer eher zusammen gehämmert :)
Ich hoffe, ihr habt nachsehen.
Ich würde mich freuen, wenn diese Skripte hier ergänzt oder gar
verfeinert würden.
1.)
Erstes Script soll mit gwhois wenn möglich die abuse-EMailaddresse
herausfinden und auf dem Screen anzeigen:
----[location /root/bin/get_mail.sh]-------------------
#!/bin/sh
#
# bin/get_mail.sh
#
# Desc: Ermittelt lediglich die Abuse-Mailadresse über gwhois von
# dem attackierenden System
# --== Quick 'n' Dirty Lösung! ==--
#
# Authors: Andreas<amazing>Appenheimer, (weitere Autoren von der
# Debian-Mailliste)
#
# Depends: gwhois (apt-get install ghwois)
if [ $# -le 0 ] ; then
echo "Aufruf: $0 IP-Adresse"
exit
fi
# Variablen
IP=$1
GWHOIS="/usr/bin/gwhois"
GREP="/bin/grep"
SCAN=`$GWHOIS $IP | $GREP abuse@`
# Wenn keine Abuse-Adresse existiert:
if [ -z '$SCAN' ] ; then
echo "Keine abuse-Mailadresse gefunden."
echo "Verwende alle aufspürbaren EMailadressen"
SCAN=`$GWHOIS $IP | $GREP @`
fi
# ToDo: awk oder sed zum herausfiltern der Mailadresse(n),
# evtl. mit Übergabe an Subskript: bin/mail2abuse.sh
# Ausgabe auf dem Bildschirm
FILTERED=
echo $SCAN
echo "paste & copy following String: "
echo "EMAIL=$FILTERED"
echo "IP=$IP"
echo " "
echo "Danach das nächste Skript aufrufen: "
echo "bin/mail2abuse.sh \$EMAIL \$IP SPECIAL-ANOUNCE"
# Special-Announce soll ein Zusatz sein, wie SSH-BruteForce
# oder DNS-Spoofing o.ä.
# To Be Continued :)
----[Ende Script1]------
2.)
Das zweite Skript soll eine EMail generieren aus:
- dem gefilterten Log-File anhand der Variable $IP
- der ermittelten EMailadresse für abuse
- einem Header mit einleitenden Hinweisen an den Ziel-Admin
und einem Body, indem ich nochmal selber meine Daten angebe
wie EMailadresse, Telefon usw.
----[location /root/bin/mail2abuse.sh]-------------------
#!/bin/sh
#
# bin/mail2abuse.sh
#
# Desc: Generiert eine EMail aus Logfile (auth.log), Header und Body
# Eine Kontrollmail wird via BCC an einen selbst versendet.
#
# Attention: Bitte die Header und Body-Dateien anpassen!
# --== Quick 'n' Dirty Lösung! ==--
#
# Authors: Andreas<amazing>Appenheimer, (weitere Autoren von
# der Debian-Mailliste)
#
# Depends: get_mail.sh, gwhois
# Variablen:
EMAIL=$1
IP=$2
SPECIAL=$3
ADMIN="deine@email.loc"
MAILHEADER="$HOME/bin/mail2abuse.header"
MAILBODY="$HOME/bin/mail2abuse.body"
LINE1="Current date: `date` "
LINE2="Server location: Land / Stadt"
LINE3="Hostname / IP: `hostname -f`, `hostname -i`"
LOG="/var/log/auth.log"
MAILTEMP="/tmp/mail2abuse_temp.txt"
SUBJECT="PLEASE STOP THIS: $SPECIAL-Intrusion-Attacks from your IP-NET"
# Check Parameter vorhanden
if [ $# -le 0 ] ; then
echo "Format: $0 EMAIL IP SPECIAL"
exit 1
fi
cat $MAILHEADER > $MAILTEMP
echo $LINE1 >> $MAILTEMP
echo $LINE2 >> $MAILTEMP
echo $LINE3 >> $MAILTEMP
cat $MAILBODY >> $MAILTEMP
cat $LOG | grep $IP >> $MAILTEMP
cat $MAILTEMP | mail $EMAIL -b"$ADMIN" -s"$SUBJECT"
# ToDo: variable SendeEMail (möglichst nicht als root@)
# Zähler einbauen: nach dem Dritten Mal IP blocken
# entsprechende Mitteilung generieren
----[Ende Script2]------
3.)
Mail-Header und -Body:
----[location /root/bin/mail2abuse.header]-------------------
Hello Administrators,
this is an automatic generated email.
You got this mail, because lots of attacks were detected
from your ip-net.
Please stop this, else this IP will be blocked in our systems.
----[Ende mail2abuse.header]------
----[location /root/bin/mail2abuse.body]-------------------
Feel free to contact me:
Vorname Familienname
(Position)
PLZ Stadt / Land
+49-123-4567890
deine@email.loc
Filtered log see below:
----[Ende mail2abuse.body]------
so long
Andreas
Reply to: