不正アクセスをiptableに追加する

Date:  2014/03/21

メール鯖のログに不正アクセスの形跡 (つェ⊂)

[root@hogehoge]# tail /var/log/maillog
:
Mar 21 10:15:17 asra postfix/smtpd[19685]: connect from unknown[180.166.96.38]
Mar 21 10:15:17 asra postfix/smtpd[19685]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
Mar 21 10:15:17 asra postfix/smtpd[19685]: warning: unknown[180.166.96.38]: SASL LOGIN authentication failed: generic failure

ふとどきものめが。成敗してやるのだ。(`ω´*)
でも数が多くて萎え。(*´Д`)
スクリプトさんにご協力いただこう。(‐ω‐;;)

こんなスクリプトを用意
[root@hogehoge]# vi make_iptables.sh 
#/bin/bash

LIST="./list"
CONFIG="/etc/sysconfig/iptables"

while read LINE; do
	RESULT=`cat ${CONFIG} | grep ${LINE}`
	if [ "${RESULT}" = "" ]; then
		echo "-A INPUT -s ${LINE} -j DROP"
	fi
done < ${LIST}

exit
[root@hogehoge]# 

メールログの不正アクセスIPアドレスだけlistファイルに抽出
[root@hogehoge]# cat /var/log/maillog* | grep 'SASL' | grep 'failed' | awk '{print $7}' | cut -d'[' -f2 | cut -d']' -f1 | sort | uniq > list

さっきつくったスクリプト実行
[root@hogehoge]# sh make_iptables.sh 
-A INPUT -s 105.236.128.237 -j DROP
-A INPUT -s 14.23.148.42 -j DROP
-A INPUT -s 180.166.96.38 -j DROP
-A INPUT -s 202.60.70.120 -j DROP
-A INPUT -s 217.37.183.105 -j DROP
-A INPUT -s 41.134.175.201 -j DROP
-A INPUT -s 41.177.229.55 -j DROP
-A INPUT -s 58.120.245.132 -j DROP
-A INPUT -s 78.99.209.0 -j DROP

スクリプトの実行結果をiptablesにコピペ
[root@hogehoge]# vi /etc/sysconfig/iptables

iptables 再起動
[root@hogehoge]# /etc/init.d/iptables restart
iptables: チェインをポリシー ACCEPT へ設定中filter         [  OK  ]
iptables: ファイアウォールルールを消去中:                  [  OK  ]
iptables: モジュールを取り外し中:                          [  OK  ]
iptables: ファイアウォールルールを適用中:                  [  OK  ]

内容確認
[root@hogehoge]# iptables -n -L

おわりー (゚∀゚人)

POSTED BY : chibiusa IN TECH NOTE