[BASH] Que se cache t’il derriere cette IP ?

Non c’est pas le même article qu’hier non !!
La il n’y a pas « Tutoriel » entre [] mais « BASH » donc ce n’est pas pareil 🙂

Je partage ce petit script qui peut être vous servira. C’est sans prétention, je pense que si je vais faire un tour sur GitLab ou l’équivalent maléfique, je trouverai bien mieux, et c’est ce que je ferai sûrement, puis je partagerai en faisant un billet. Mais pas maintenant.

En gros le script va lire le fichier log de Apache qui contient des IPs « malveillantes ». Pour faire simple, dans ce fichier Apache stockera toute les IPs ayant fournis des requêtes non conventionnelles.

Ce fichier sur Debian est le fichier log « Other_Vhosts_Access ».

#!/bin/bash
ip=$(grep '' /var/log/apache2/other_vhosts_access.log | awk '{print $2}')
for i in $ip; do
if [ $i != '::1' ];then
echo "$i ==> $(geoiplookup -f /usr/share/GeoIP/GeoIPCity.dat $i)"
fi
done
echo "
#FINI
#Auteur : Hedilenoir
#Site : hedilenoir.com
#Licence : Je m'en bas les pépettes"
Le résultat en image, dans un terminal.

Je suis conscient que c’est perfectible, il y a moyen d’aller plus loin avec un Cron + avertissement par mail. C’est purement artisanal si je puis dire.
Mais si ça peut donner des idées ;), on peut faire idem mais pour ajouter des règles au pare-feu par exemple et automatiser cela avec Cron.

Edit du 03/12/18 : remplacement de « cat » par « grep  »  » et ajout de l’espace après le dernier « echo« .

Si vous avez des compléments/remarques/suggestions, n’hésitez pas !

@++

 


https://hedilenoir.com/index.php/2018/11/29/tutoriel-que-se-cache-til-derriere-cette-adresse-ip/
https://www.loggly.com/ultimate-guide/apache-logging-basics/
https://httpd.apache.org/docs/1.3/logs.html