Akio's information server

不正なアクセスの検出と自動フィルタリング

• Apacheのログを調べると、知らないうちに様々なアクセスがあります。
  不正なアクセスが検知された時点で、そのIPアドレスからのパケットを遮断するperlスクリプトを紹介します。
  といっても最初のアクセスで侵入されてしまった場合は防ぎようがないのですが、何回も来られて困る場合には、それなりに使えると思います。

  #!/usr/bin/perl5
  
  $logsdir = "/foo/apache/logs"; #apahceのログ置場
  $access_log = $logsdir . "/access_log";
  $ipfw_log = $logsdir . "/ipfw_log";
  
  $count = 1000;
  
  open(IN, "tail -f $access_log|");
  while(<IN>){
      if(/winnt|scripts|default\.ida/){
  	$ip = (split)[0];
  	$ip =~ y/0-9\.//cd;
  	$time = time;
  	$count++;
  	system("/sbin/ipfw add $count deny ip from $ip to any");
  	system("/sbin/ipfw add $count deny ip from any to $ip");
  	open(LOG, ">>$ipfw_log");
  	flock(LOG,2);
  
  	print LOG "$time\t$count\t$ip\n";
  	close(LOG);
      }
  }
  close(IN);
  
  log_watcher.plというファイル名でパスの通ったディレクトリに置きます。
  上記スクリプトをrootになって、
  # nohup perl5 log_watcher.pl&
  としてバックグラウンドで実行します。
  このままだと、どんどんルールが増えてくるので、適当な時間でクリアします。
  #!/usr/local/bin/perl5
  $logsdir = "/usr/local/apache/logs";
  $ipfw_log = $logsdir . "/ipfw_log";
  
  $time = time;
  $prev = $time - 60 * 60 * 24; # <-- 24時間以前の制限をクリアする
  
  open(IN, "/sbin/ipfw show|");
  while(<IN>){
      @row = split;
      $list[$row[0]] = 1;
  }
  close(IN);
  open(IN, $ipfw_log);
  while(<IN>){
      chop;
      @row = split;
      if ($list[$row[1]] == 1 && $row[0] < $prev){
  	system("/sbin/ipfw delete $row[1]");
      }
  }
  close(IN);
  
  上記のスクリプトをcronで20分間隔で実行します。