ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Помогите со скриптом.
41 сообщений из 41, показаны все 2 страниц
  все  
Помогите со скриптом.
    #33702913
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Есть лог веб сервера.
формат такой
Код: plaintext
1.
2.
3.
 2006 - 04 - 25   23 : 34 : 19  HEAD /bin/scripts/winnt/system32/cmd.exe /c+dir+f:\  82 . 49 . 129 . 27  - -  200   223   5667 
 2006 - 04 - 25   23 : 34 : 19  GET /bin/scripts/winnt/system32/cmd.exe /c+dir+f:\  82 . 49 . 129 . 27  - -  200   5703   117 
 2006 - 04 - 25   23 : 34 : 20  HEAD /bin/scripts/winnt/system32/cmd.exe /c+dir+g:\  82 . 49 . 129 . 27  - -  200   223   5667
Хочется следующего.

Выбрать из него записи, по критериям, например содержащим строки cmd.exe, thisdoesnoteesist.php, something и тд
Далее составить список уникальных ip с которых эти запросы приходили
ну и выполнит для этих ip что то вроде
Код: plaintext
ipfw add deny all from $ip to any

grep строк c критериями как я понимаю не проблема, вот как выбрать уникальные ip - не знаю.

Подскажите чего нить, или может другой путь отсекания недохакеров...
...
Рейтинг: 0 / 0
03.05.2006, 04:13:57
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702933
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
s/\(.*\)\(\d*\.\d*.\d*\.\d*\)\(.*\)/\2/

\(что угодно\) \(цифры точка цифры точка цифры точка цифры\) \(что угодно\)
заменить на второе выражение.

результат после грепа пропустить через сед с таким скриптом -
останутся только айпи адреса в строчке.
...
Рейтинг: 0 / 0
03.05.2006, 05:13:40
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702934
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
* заменить на то, что распознано вторым выражением.
...
Рейтинг: 0 / 0
03.05.2006, 05:15:50
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702936
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Про регексп понял,
а как дублирование их исключить?
...
Рейтинг: 0 / 0
03.05.2006, 05:20:45
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702937
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
о тока нашел.


sort --help

unique --help
...
Рейтинг: 0 / 0
03.05.2006, 05:23:42
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702939
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
uniq
...
Рейтинг: 0 / 0
03.05.2006, 05:28:36
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702940
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
А кстати, что то с обратной ссылкой не так
Код: plaintext
1.
cat /var/log/my.log | grep cmd.exe | sed -E  s/\(.*\)\(\d*\.\d*\.\d*\.\d*\)\(.*\)/\ 2 /

результат
Код: plaintext
1.
2.
3.
4.
\ 2 
\ 2 
\ 2 
\ 2
...
Рейтинг: 0 / 0
03.05.2006, 05:28:39
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702941
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Простите в предыдущем посте в результатх слеша нет

Выполняем
Код: plaintext
1.
cat /var/log/my.log | grep cmd.exe | sed -E  s/\(.*\)\(\d*\.\d*\.\d*\.\d*\)\(.*\)/\ 2 / | uniq
Получаем
Код: plaintext
 2

уже близко,
дальше наверно xargs какой нить с ipfw
...
Рейтинг: 0 / 0
03.05.2006, 05:30:57
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702943
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
гм.
у меня выдает айпи адресс
...
Рейтинг: 0 / 0
03.05.2006, 05:36:22
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702947
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
можно вместо \d* \d+ поставить. в виндюках в седе плюса нет.
или \d* +> \d\d*
...
Рейтинг: 0 / 0
03.05.2006, 05:40:08
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702949
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
а так чтоли 1 будет выдаваться?
Код: plaintext
1.
cat /var/log/my.log | grep cmd.exe | sed -E  s/.*\(\d*\.\d*\.\d*\.\d*\).*/\1/
...
Рейтинг: 0 / 0
03.05.2006, 05:41:47
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702952
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Да - выдает 1.

читаю man regexp но не могу найти синтаксиса обратных ссылок.

Кстати совсем забыл выполняется это на машине freebsd 5.3
...
Рейтинг: 0 / 0
03.05.2006, 05:45:27
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702954
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
замени соверменные регулярные выражения E на базик e
если \d будет не понимать, то [0-9]
sed -e command
...
Рейтинг: 0 / 0
03.05.2006, 05:47:35
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702959
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Обратные ссылки наверно не причем.

Поменял звездочки на плюс, теперь это выглядит так
Код: plaintext
1.
 cat /var/log/sipay.log | grep cmd.exe | sed   s/\(.+\)\(\d+\.\d+\.\d+\.\d+\)\(.*\)/\ 2 / | sort -u

Результат
Код: plaintext
1.
2.
3.
 2006 - 04 - 25   23 : 34 : 19  GET /bin/scripts/winnt/system32/cmd.exe /c+dir+f:\  82 . 49 . 129 . 27  - -  200   5703   117 
 2006 - 04 - 25   23 : 34 : 19  HEAD /bin/scripts/winnt/system32/cmd.exe /c+dir+f:\  82 . 49 . 129 . 27  - -  200   223   5667 
 2006 - 04 - 25   23 : 34 : 20  GET /bin/scripts/winnt/system32/cmd.exe /c+dir+g:\  82 . 49 . 129 . 27  - -  200   5703   117

что то я в замешательстве...
...
Рейтинг: 0 / 0
03.05.2006, 05:51:46
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702961
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Не пойму что то.

Такое ощущение что сед вобще поиск замену не делает.

Тупо вписал три раза \d
Код: plaintext
1.
cat /var/log/my.log | grep cmd.exe | sed -e  s/\(.+\)\(\d\d\d\.\d\d\d\.\d\d\d\.\d\d\d\)\(.*\)/\ 6 /
изменил на [0-9]
Код: plaintext
1.
 cat /var/log/my.log | grep cmd.exe | sed -e  s/\(.+\)\([ 0 - 9 ]+\.[ 0 - 9 ]+\.[ 0 - 9 ]+\.[ 0 - 9 ]+\)\(.*\)/\ 2 / | sort -u

результат один

Код: plaintext
1.
2.
3.
 2006 - 04 - 25   23 : 34 : 20  HEAD /bin/scripts/winnt/system32/cmd.exe /c+dir+g:\  82 . 49 . 129 . 27  - -  200   223   5667 
 2006 - 04 - 25   23 : 34 : 21  HEAD /bin/scripts/winnt/system32/cmd.exe /c+dir+c:\  82 . 49 . 129 . 27  - -  200   223   5645 
 2006 - 04 - 25   23 : 35 : 15  GET /bin/scripts/winnt/system32/cmd.exe /c+dir+c:\  82 . 49 . 129 . 27  - -  200   0   95 
 2006 - 04 - 28   01 : 19 : 37  GET /scripts/..%5c%5c../winnt/system32/cmd.exe /c+dir  60 . 12 . 81 . 52  - -  200   0   59
...
Рейтинг: 0 / 0
03.05.2006, 05:57:37
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702962
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
мда. второе подвыражение явно не выбралось.
похоже что с в выражении с плюсами поток после седа не изменился вообще.
...
Рейтинг: 0 / 0
03.05.2006, 05:59:20
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702966
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Код: plaintext
1.
2.
3.
 echo alskdfjsdaf sadoifj asd  123 . 123 . 123 . 123  > test.log
 cat test.log |sed -e s/\(.*\) 123 \(.*\)/\ 2 /
cat test.log |sed -e s/\(.*\) 123 \. 123 \. 123 \. 123 \(.*\)/\ 2 /
результат оба раза
Код: plaintext
1.
alskdfjsdaf sadoifj asd  123 . 123 . 123 . 123
...
Рейтинг: 0 / 0
03.05.2006, 06:04:17
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702970
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
Код: plaintext
1.
sed -e  "s/\(.*\)\([0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\(.*\)/\2/"

это на бсд попробовал.
работает
...
Рейтинг: 0 / 0
03.05.2006, 06:06:57
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702973
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
\2 это номер выражения в скобках \( \)
поэтому числа точка - надо взять в скобки обязательно
...
Рейтинг: 0 / 0
03.05.2006, 06:09:39
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702974
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Мда, кавычки помогли

Код: plaintext
1.
2.
3.
4.
5.
6.
 cat /var/log/my.log | grep cmd.exe | sed -e  "s/\(.*\)\([0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\(.*\)/\2/" | sort -u
 0 . 12 . 81 . 52 
 2 . 23 . 146 . 125 
 2 . 38 . 188 . 30 
 2 . 49 . 129 . 27 
{...}

Обратите внимание что первый октент или как он там называется, всегда из последней цифры состоит. Т.е. надо заставить регексп быть жадным - чтоб максимум цифр брал...
...
Рейтинг: 0 / 0
03.05.2006, 06:11:11
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702975
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
и двойные кавычки зачемто надо на bsd
...
Рейтинг: 0 / 0
03.05.2006, 06:11:39
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702976
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
и еще маленькая проблема с регекспом.

Посмотрим на строку лога типа

Код: plaintext
1.
 2006 - 05 - 02   23 : 57 : 21  GET /scripts/..%5c%5c../winnt/system32/cmd.exe /c+ping+-n+ 50 +-l+ 30000 + 220 . 189 . 231 . 58   60 . 12 . 81 . 52  - -  200   0   90

Как видно в ней два ип адреса, нам нужен самый правый. как интересно это указать...
...
Рейтинг: 0 / 0
03.05.2006, 06:14:01
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702978
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
1
он и так жадный
пробел вставить перед цифрой
Код: plaintext
1.
2.
"s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\(.*\)/\2/"

2
втотое подвыражение в скобках распознает первый айпи
третье - второй
...
Рейтинг: 0 / 0
03.05.2006, 06:16:58
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702981
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
Код: plaintext
1.
"s/\(.*\)\([0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\(.*\)/\3/"
...
Рейтинг: 0 / 0
03.05.2006, 06:18:34
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702982
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Про пробел понял - проверил работает.

Про третье выражение извините не допонял, если недохакер пришлет get запрос c 10 айпишниками в тексте то мне из лога нужен будет 11-эй.
...
Рейтинг: 0 / 0
03.05.2006, 06:20:23
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702986
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
циклов в седе нету

если нужен последний айпи, то явно задать ,что находится справа.

например пробел минус пробел минус
\( - -\).*
...
Рейтинг: 0 / 0
03.05.2006, 06:23:39
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702987
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Другими словами в логе типа

Код: plaintext
дата запрос айпи код - - принято отправлено

надо игнорировать поле запрос даже если оно содержит айпишники.

Иначе недохакер саожет прислав запрос с айпишнико постороннего человека - тем самым забанить его..

Мои експерименты пока показывают что сед итак выдает самый правый айпи, но хотелось бы иметь некую уверенность, что недохакеры не получат инструмент управления доступом к сайту...
...
Рейтинг: 0 / 0
03.05.2006, 06:24:37
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702990
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
ну может так описать явно конец строки лога

пробел минус пробел минус пробел хоть_одна_цифра пробел хоть_одна_цифра пробе хоть_одна_цифра все_что_угодно
...
Рейтинг: 0 / 0
03.05.2006, 06:27:29
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702991
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
К сожалению правая часть непостоянна, минусы там просто из за того что я неудачный пример лога привел. В эти же поля веб сервер логгирует цифры...
...
Рейтинг: 0 / 0
03.05.2006, 06:28:40
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33702994
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Итого (опустив на время проблемы с самым правым ip)что мы получили.

Механизм выборки списка уникальных айпишников для конкретной подстроки в логе.

Осталось научиться производить поиск по всем критериям и засовывать полученные ip в ipfw например.

Пусть критерии хранятся в файле string
Код: plaintext
1.
2.
3.
4.
cmd.exe
sumthin
thisdoesnotexist 
{...}

Код: plaintext
1.
cat /var/log/my.log | grep [Сюда надо строки из фала включить] | sed -e  "s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\( -.*\)/\2/" | sort -u

И кстати получается что для каждого критерия надо весь лог просматривать, может grep неудачно выбран?
...
Рейтинг: 0 / 0
03.05.2006, 06:34:57
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703000
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
про правую часть.

можно сказать, что справа будут только пробелы, минусы и цифры?
тоесть не ".*", а " [ \-0-9]"
хотя я про минус внутри квадратных скобок не уверен.

можно сказать все, что угодно кроме точек?
"[^.]*"
...
Рейтинг: 0 / 0
03.05.2006, 06:41:44
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703006
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
про греп - нуда.

седом можно выбрать нужные строчки за один проход.

foo.sed
Код: plaintext
1.
2.
3.
4.
5.
/str1/p
/str2/p
/str3/p
....
/strN/p


sed -nf foo.sed
...
Рейтинг: 0 / 0
03.05.2006, 06:46:10
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703009
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Да - совершенно верно, обидно что сам не догадался, справа не может быть например точек - этим можно воспользоваться

Итого процедура отбора уникальных айпи по одному критерию
Код: plaintext
cat /var/log/my.log | grep cmd.exe | sed -e  "s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\([^\.]*\)/\2/" | sort -u
...
Рейтинг: 0 / 0
03.05.2006, 06:48:31
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703014
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
кстати, раз кавычки появились можно попробовать вернуть как цифру \d вместо [0-9]

\d\d* , возможно, с современными выражениями -E
...
Рейтинг: 0 / 0
03.05.2006, 06:53:54
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703022
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Пробую

файл criteries.sed
Код: plaintext
1.
/cmd.exe/p

команда
Код: plaintext
1.
sed -f criteries.sed -e  "s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\([^\.]*\)/\2/" /var/log/my.log | sort -u

Неожиданно выдает все подряд, изредка ip
изредка строки в которых нет шаблона из критерив
Код: plaintext
1.
2.
3.
#Fields: date time cs-method cs-uri-stem cs-uri-query c-ip cs(User-Agent) cs(Referer) sc-status sc-bytes cs-bytes
  82 . 78 . 108 . 160 
{...}
...
Рейтинг: 0 / 0
03.05.2006, 07:06:46
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703025
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
Код: plaintext
1.
cat /var/log/my.log | sed -nf criteries.sed| sed -e  "s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\([^\.]*\)/\2/" | sort -u

sed -nf criteries.sed | sed blablabla
...
Рейтинг: 0 / 0
03.05.2006, 07:09:57
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703028
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
первый сед выбирает строчки лога. -n важно
второй - удаляет все кроме последних айпей

--
если выполнять два скрипта в одном седе, я не знаю что будет.
...
Рейтинг: 0 / 0
03.05.2006, 07:12:59
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703035
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Заработало!

Добавил в критерии
Код: plaintext
1.
2.
3.
/cmd.exe/p
/somethin/p
/thisdoes/p
Код: plaintext
1.
 cat /var/log/my.log | sed -nf criteries.sed |sed -e  "s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\([^\.]*\)/\2/" | sort -u

Результат

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
 192 . 38 . 188 . 30 
 195 . 225 . 169 . 92 . 0 
 200 . 234 . 199 . 163 . 0 
 216 . 180 . 251 . 58 . 0 
 216 . 35 . 177 . 235 . 0 
 216 . 65 . 11 . 137 . 0 
 60 . 12 . 81 . 52 
 62 . 23 . 146 . 125 
{..}

Чудно, осталось догадаться как это щас пихать файрволу...
...
Рейтинг: 0 / 0
03.05.2006, 07:19:29
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703048
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
ага догадался
в конец команды
добавить
Код: plaintext
1.
 | xargs -I % ipfw add  1  deny all from % to any
...
Рейтинг: 0 / 0
03.05.2006, 07:27:26
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703052
Фотография APM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
APM
Участник
Итого целиком рецепт

1. Создаем файл с неугодными построками
criteries.sed
Код: plaintext
1.
2.
3.
/cmd.exe/p
/somethin/p
/thisdoes/p

2. Выполняем команду, ну или шедулим крону
Код: plaintext
1.
cat /var/log/my.log | sed -nf criteries.sed |sed -e  "s/\(.*\)\( [0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\)\([^\.]*\)/\2/" | sort -u | xargs -I % ipfw add  1  deny all from % to any

Минусы:
1. По правилу файрвола на каждый ip
2. Я бы не поболся банить подсетями провайдера даже, ибо анализ лично моего лога показывает что там сплошь китайцы и прочие азиаты которые как клиенты моего сайта мне не нужны, но как прикрутить к скрипту вывод команды whois не знаю, да и побаиваюсь сложностей
3. Неудобно правила файрвола будет удалять, так как номер у всех "1" удаляться будут последовательно, как сделать их с разными номерами но в начале списка правил еще не придумал.


Ну и вообще покритикуйте, подскажите чего-нить...
...
Рейтинг: 0 / 0
03.05.2006, 07:34:09
| Ответить | Цитировать | Написать  
Помогите со скриптом.
    #33703053
Фотография tchingiz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
tchingizПривилегированный пользователь
Участник
эта. у тебя было правильнее раньше
сат не нужен

не так,
Код: plaintext
 cat /var/log/my.log | sed -nf criteries.sed |sed -e ......

а так
Код: plaintext
 sed -nf criteries.sed /var/log/my.log |sed -e .....
...
Рейтинг: 0 / 0
03.05.2006, 07:35:37
| Ответить | Цитировать | Написать  
41 сообщений из 41, показаны все 2 страниц
  все  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Помогите со скриптом.
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?all=1&fid=25&tid=1489534]:
 0ms
get settings:
 11ms
get forum list:
 16ms
check forum access:
 5ms
check topic access:
 5ms
track hit:
 64ms
get topic data:
 15ms
get forum data:
 3ms
get page messages:
 72ms
get tp. blocked users:
 2ms
others: 236ms
total:  429ms
созд. / загр.: 429ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]