quarta-feira, março 11, 2009

Blacklist OSSEC

Script simples que lista os IPs que mais geraram active responses no log do OSSEC:


#!/bin/bash
LOG="/var/ossec/logs/active-responses.log"

cat ${LOG} | awk -F \ '{ print $10 }' | sort | tr A-Z a-z | uniq -c | sort -gr



blacklist_ossec.sh


O resultado pode ser integrado com regras de firewall facilmente. O fato dos IPs de origens dos ataques se repetirem não é mera coincidência. :-)

Nenhum comentário: