ваше сообщение коммита
This commit is contained in:
@@ -4,16 +4,18 @@
|
||||
# Автоматически блокирует подозрительные IP адреса и домены
|
||||
|
||||
LOG_FILE="/var/log/nginx/access.log"
|
||||
SUSPICIOUS_LOG_FILE="/var/log/nginx/suspicious_domains.log"
|
||||
BLOCKED_IPS_FILE="/tmp/blocked_ips.txt"
|
||||
SUSPICIOUS_DOMAINS_FILE="/tmp/suspicious_domains.txt"
|
||||
NGINX_CONTAINER="dapp-frontend-nginx"
|
||||
WAF_CONF_FILE="/etc/nginx/conf.d/waf.conf"
|
||||
|
||||
# Создаем файлы для хранения данных
|
||||
touch "$BLOCKED_IPS_FILE"
|
||||
touch "$SUSPICIOUS_DOMAINS_FILE"
|
||||
|
||||
echo "🔒 Запуск мониторинга безопасности DLE..."
|
||||
echo "📊 Логирование атак в: $LOG_FILE"
|
||||
echo "📊 Анализ логов nginx контейнера: $NGINX_CONTAINER"
|
||||
echo "🚫 Заблокированные IP: $BLOCKED_IPS_FILE"
|
||||
echo "🌐 Подозрительные домены: $SUSPICIOUS_DOMAINS_FILE"
|
||||
|
||||
@@ -30,8 +32,31 @@ SUSPICIOUS_DOMAINS=(
|
||||
"akamai-inputs-rvc"
|
||||
"akamai-inputs-erau"
|
||||
"akamai-inputs-notion"
|
||||
"bestcupcakerecipes"
|
||||
"usmc1"
|
||||
"test"
|
||||
"admin"
|
||||
"dev"
|
||||
"staging"
|
||||
"beta"
|
||||
"demo"
|
||||
"old"
|
||||
"new"
|
||||
"backup"
|
||||
)
|
||||
|
||||
# Функция для создания WAF конфигурации
|
||||
create_waf_config() {
|
||||
docker exec "$NGINX_CONTAINER" sh -c "
|
||||
cat > $WAF_CONF_FILE << 'EOF'
|
||||
# WAF конфигурация для блокировки подозрительных IP
|
||||
geo \$bad_ip {
|
||||
default 0;
|
||||
# Заблокированные IP будут добавляться сюда автоматически
|
||||
EOF
|
||||
"
|
||||
}
|
||||
|
||||
# Функция для блокировки IP
|
||||
block_ip() {
|
||||
local ip=$1
|
||||
@@ -51,9 +76,16 @@ block_ip() {
|
||||
echo "$ip" >> "$BLOCKED_IPS_FILE"
|
||||
echo "🚫 Блокируем IP: $ip (причина: $reason)"
|
||||
|
||||
# Добавляем IP в nginx конфигурацию
|
||||
# Добавляем IP в nginx WAF конфигурацию
|
||||
docker exec "$NGINX_CONTAINER" sh -c "
|
||||
echo ' $ip 1; # Автоматически заблокирован: $reason' >> /etc/nginx/conf.d/waf.conf
|
||||
if [ ! -f $WAF_CONF_FILE ]; then
|
||||
create_waf_config
|
||||
fi
|
||||
|
||||
# Добавляем IP в WAF конфигурацию
|
||||
sed -i '/default 0;/a\\ $ip 1; # Автоматически заблокирован: $reason' $WAF_CONF_FILE
|
||||
|
||||
# Перезагружаем nginx
|
||||
nginx -s reload
|
||||
"
|
||||
|
||||
@@ -79,60 +111,71 @@ log_suspicious_domain() {
|
||||
fi
|
||||
}
|
||||
|
||||
# Функция для анализа логов
|
||||
analyze_logs() {
|
||||
echo "🔍 Анализ логов на предмет атак..."
|
||||
# Функция для анализа Docker логов nginx
|
||||
analyze_docker_logs() {
|
||||
echo "🔍 Анализ Docker логов nginx на предмет атак..."
|
||||
|
||||
# Ищем подозрительные запросы
|
||||
docker exec "$NGINX_CONTAINER" tail -f "$LOG_FILE" | while read line; do
|
||||
# Извлекаем IP адрес
|
||||
ip=$(echo "$line" | grep -oE '([0-9]{1,3}\.){3}[0-9]{1,3}')
|
||||
|
||||
# Извлекаем домен из Referer
|
||||
domain=$(echo "$line" | grep -oE 'https?://[^/]+' | sed 's|https\?://||')
|
||||
|
||||
if [ -n "$ip" ]; then
|
||||
# Проверяем на подозрительные запросы
|
||||
if echo "$line" | grep -q "\.env\|\.config\|\.ini\|\.sql\|\.bak\|\.log"; then
|
||||
block_ip "$ip" "Попытка доступа к чувствительным файлам"
|
||||
fi
|
||||
# Анализируем логи nginx контейнера
|
||||
docker logs --follow "$NGINX_CONTAINER" | while read line; do
|
||||
# Ищем HTTP запросы в логах
|
||||
if echo "$line" | grep -qE "(GET|POST|HEAD|PUT|DELETE|OPTIONS)"; then
|
||||
# Извлекаем IP адрес
|
||||
ip=$(echo "$line" | grep -oE '([0-9]{1,3}\.){3}[0-9]{1,3}')
|
||||
|
||||
# Проверяем на сканирование резервных копий и архивов
|
||||
if echo "$line" | grep -q "backup\|backups\|bak\|old\|restore\|\.tar\|\.gz\|sftp-config"; then
|
||||
block_ip "$ip" "Сканирование резервных копий и конфигурационных файлов"
|
||||
fi
|
||||
# Извлекаем домен из Host заголовка
|
||||
domain=$(echo "$line" | grep -oE 'Host: [^[:space:]]+' | sed 's/Host: //')
|
||||
|
||||
# Проверяем на подозрительные поддомены
|
||||
if echo "$line" | grep -q "bestcupcakerecipes\|usmc1\|test\|admin\|dev\|staging"; then
|
||||
block_ip "$ip" "Попытка доступа к несуществующим поддоменам"
|
||||
fi
|
||||
# Извлекаем User-Agent
|
||||
user_agent=$(echo "$line" | grep -oE 'User-Agent: [^[:space:]]+' | sed 's/User-Agent: //')
|
||||
|
||||
# Проверяем на старые User-Agent
|
||||
if echo "$line" | grep -q "Chrome/[1-7][0-9]\."; then
|
||||
block_ip "$ip" "Подозрительный User-Agent (старый Chrome)"
|
||||
fi
|
||||
# Извлекаем URI
|
||||
uri=$(echo "$line" | grep -oE '(GET|POST|HEAD|PUT|DELETE|OPTIONS) [^[:space:]]+' | awk '{print $2}')
|
||||
|
||||
if echo "$line" | grep -q "Safari/[1-5][0-9][0-9]\."; then
|
||||
block_ip "$ip" "Подозрительный User-Agent (старый Safari)"
|
||||
fi
|
||||
|
||||
# Проверяем на известные сканеры
|
||||
if echo "$line" | grep -qi "bot\|crawler\|spider\|scanner\|nmap\|sqlmap"; then
|
||||
block_ip "$ip" "Известный сканер/бот"
|
||||
fi
|
||||
|
||||
# Проверяем на подозрительные домены
|
||||
for suspicious in "${SUSPICIOUS_DOMAINS[@]}"; do
|
||||
if echo "$domain" | grep -qi "$suspicious"; then
|
||||
log_suspicious_domain "$domain" "$ip"
|
||||
break
|
||||
if [ -n "$ip" ]; then
|
||||
echo "🔍 Анализируем запрос: $ip -> $domain -> $uri"
|
||||
|
||||
# Проверяем на подозрительные запросы
|
||||
if echo "$uri" | grep -q "\.env\|\.config\|\.ini\|\.sql\|\.bak\|\.log"; then
|
||||
block_ip "$ip" "Попытка доступа к чувствительным файлам: $uri"
|
||||
fi
|
||||
|
||||
# Проверяем на сканирование резервных копий и архивов
|
||||
if echo "$uri" | grep -q "backup\|backups\|bak\|old\|restore\|\.tar\|\.gz\|sftp-config"; then
|
||||
block_ip "$ip" "Сканирование резервных копий и конфигурационных файлов: $uri"
|
||||
fi
|
||||
|
||||
# Проверяем на подозрительные поддомены
|
||||
if echo "$domain" | grep -q "bestcupcakerecipes\|usmc1\|test\|admin\|dev\|staging"; then
|
||||
block_ip "$ip" "Попытка доступа к несуществующим поддоменам: $domain"
|
||||
fi
|
||||
|
||||
# Проверяем на старые User-Agent
|
||||
if echo "$user_agent" | grep -q "Chrome/[1-7][0-9]\."; then
|
||||
block_ip "$ip" "Подозрительный User-Agent (старый Chrome): $user_agent"
|
||||
fi
|
||||
|
||||
if echo "$user_agent" | grep -q "Safari/[1-5][0-9][0-9]\."; then
|
||||
block_ip "$ip" "Подозрительный User-Agent (старый Safari): $user_agent"
|
||||
fi
|
||||
|
||||
# Проверяем на известные сканеры
|
||||
if echo "$user_agent" | grep -qi "bot\|crawler\|spider\|scanner\|nmap\|sqlmap"; then
|
||||
block_ip "$ip" "Известный сканер/бот: $user_agent"
|
||||
fi
|
||||
|
||||
# Проверяем на подозрительные домены
|
||||
for suspicious in "${SUSPICIOUS_DOMAINS[@]}"; do
|
||||
if echo "$domain" | grep -qi "$suspicious"; then
|
||||
log_suspicious_domain "$domain" "$ip"
|
||||
break
|
||||
fi
|
||||
done
|
||||
|
||||
# Проверяем на множественные запросы (DDoS)
|
||||
request_count=$(docker logs "$NGINX_CONTAINER" | grep "$ip" | wc -l)
|
||||
if [ "$request_count" -gt 100 ]; then
|
||||
block_ip "$ip" "Подозрение на DDoS ($request_count запросов)"
|
||||
fi
|
||||
done
|
||||
|
||||
# Проверяем на множественные запросы (DDoS)
|
||||
request_count=$(docker exec "$NGINX_CONTAINER" grep "$ip" "$LOG_FILE" | wc -l)
|
||||
if [ "$request_count" -gt 100 ]; then
|
||||
block_ip "$ip" "Подозрение на DDoS ($request_count запросов)"
|
||||
fi
|
||||
fi
|
||||
done
|
||||
@@ -151,12 +194,16 @@ show_stats() {
|
||||
tail -5 "$SUSPICIOUS_DOMAINS_FILE" 2>/dev/null || echo "Нет подозрительных доменов"
|
||||
}
|
||||
|
||||
# Инициализация WAF конфигурации
|
||||
echo "🔧 Инициализация WAF конфигурации..."
|
||||
create_waf_config
|
||||
|
||||
# Основной цикл
|
||||
while true; do
|
||||
echo "🔄 Проверка безопасности... $(date)"
|
||||
|
||||
# Анализируем логи в фоне
|
||||
analyze_logs &
|
||||
analyze_docker_logs &
|
||||
|
||||
# Показываем статистику каждые 5 минут
|
||||
show_stats
|
||||
|
||||
Reference in New Issue
Block a user