send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Control de acceso al puerto 80 (Web) y advertencia via Email

  • 0 Respuestas
  • 1392 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5301
  • Actividad:
    38.33%
  • Reputación 29
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« en: Octubre 04, 2016, 02:41:25 pm »


Este script permite mediante la lectura de conexiones hacia el puerto 80, conocer si desde alguna IP o IP’s existen multiplicidad de accesos.

De esa manera podemos determinar si el servidor esta bajo algún tipo de ataque o si algún sitio puede estar siendo vulnerado o con intentos de denegación de servicio.

Es importante aclarar que el script funciona escaneando los reportes del netstat, y lo que hace es enviar una advertencia cuando cierta IP supera el límite de conxiones que colocamos dentro del script. En el correo que envia ya detalla el whois de la IP informada, para tener una idea del país de origen del atacante.

El sistema esta dividido en 2 secciones que detallaremos:
Crear un archivo donde se van a colocar las direcciones de correo (Ej: Emails)

Código: Bash
  1. mauro@soyadmin:# vi emails
  2. # Lista de destinatarios para las alertas
  3. #
  4. # Formato: direccion[,direccion] [cc|bcc]
  5. #
  6. # Se pueden indicar varias direcciones en distintas lineas o separadas por comas
  7. # Las opciones "cc" y "bcc" marcan la direccion(es) de destino como "Cc:" or
  8. # "Bcc:", respectivamente.
  9. #
  10. # Es importante que la ultima linea del fichero sea una linea en blanco
  11. cuenta1@dominio.com
  12. cuenta2@dominio.com bcc

Ahora crearemos el script que se ejecutará cada hora (cron.hourly) y que se utilizará para realizar el escaneo en si:

Código: Bash
  1. mauro@soyadmin:# vi /etc/cron.hourly/chequeoconexiones.sh
  2. #!/bin/sh# Comando que realiza el reastreo
  3. nroconn=`netstat -nap |grep ":80" | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | awk '{print $1}' | tail -1`# Comando que nos devolverá la ip
  4. ip=`netstat -nap |grep ":80" | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n | awk '{print $2}' | tail -1`
  5.  
  6. # Limite a superar para informar, esto se puede variar según las necesidades de cada server
  7. limite=100
  8. if [ $nroconn -gt $limite ]; then
  9. mensaje="Atencion! la IP $ip tiene $nroconn conexiones activas"
  10.  
  11. # Realizamos el whois sobre la IP
  12. infor=`whois $ip | grep country`
  13. whois=`whois $ip`
  14.  
  15. # Generamos el correo
  16. mailto=""
  17. cc_to=""
  18. bcc_to=""
  19. while read direccion mode
  20. do
  21. if [ -z "$direccion" -o "${direccion:0:1}" = "#" ] ; then continue; fi
  22. if [ "x$mode" = "xcc" -o "x$mode" = "xCC" ] ; then
  23. cc_to=${cc_to:+${cc_to},}$direccion
  24. else
  25. if [ "x$mode" = "xbcc" -o "x$mode" = "xBCC" ] ; then
  26. bcc_to=${bcc_to:+${bcc_to},}$direccion
  27. else
  28. mailto=${mailto:+${mailto},}$direccion
  29. fi
  30. fi
  31.  
  32. # Llamamos al archivo donde guardamos las direcciones de correo
  33. done <~/emails
  34. mailto=${mailto:-operator}
  35. cc_to=${cc_to:+"-c $cc_to"}
  36. bcc_to=${bcc_to:+"-b $bcc_to"}
  37. mail ${cc_to} ${bcc_to} -s "Alerta OJO Muchas conexiones SERVER: (nombre de servidor)" ${mailto} >&2 <<-EOM
  38. $mensaje
  39. Dicha IP es de: $infor
  40. WHOIS de $ip
  41. $whois
  42. EOM
  43. fi

Conclusión: Este Script chequeará el puerto 80, en caso de encontrar una IP que tenga más de 100 conexiones simultaneas, nos enviará un correo advirtiéndonos. En el cuerpo del correo detallará un Whois de dicha IP a fin de saber de donde proviene.

Fuente: soyadmin.com
« Última modificación: Febrero 20, 2017, 07:28:49 am por HATI »


 

¿Te gustó el post? COMPARTILO!



Ofuscando nuestra dirección de email [ITMK Blog]

Iniciado por fermino

Respuestas: 1
Vistas: 1649
Último mensaje Abril 10, 2015, 11:02:03 am
por .:UND3R:.
Securizar el acceso a wp-admin de WordPress

Iniciado por BlackDead

Respuestas: 1
Vistas: 1554
Último mensaje Agosto 07, 2013, 01:19:51 am
por ZanGetsu
Buscar el puerto de escucha mediante el /proc

Iniciado por vjnario

Respuestas: 6
Vistas: 2712
Último mensaje Marzo 03, 2013, 02:37:52 pm
por Adastra