ваше сообщение коммита

2025-08-06 11:37:58 +03:00
parent c987b8f8f4
commit cde35ac576
27 changed files with 1868 additions and 2616 deletions
--- a/security-monitor.sh
+++ b/security-monitor.sh
@@ -37,6 +37,12 @@ block_ip() {
    local ip=$1
    local reason=$2
    
+    # Исключаем внутренние Docker IP адреса
+    if [[ "$ip" =~ ^172\.(1[6-9]|2[0-9]|3[0-1])\. ]] || [[ "$ip" =~ ^10\. ]] || [[ "$ip" =~ ^192\.168\. ]]; then
+        echo "🔒 Пропускаем внутренний IP: $ip (причина: $reason)"
+        return
+    fi
+    
    # Проверяем, не заблокирован ли уже IP
    if grep -q "^$ip$" "$BLOCKED_IPS_FILE"; then
        return
@@ -91,11 +97,25 @@ analyze_logs() {
                block_ip "$ip" "Попытка доступа к чувствительным файлам"
            fi
            
+            # Проверяем на сканирование резервных копий и архивов
+            if echo "$line" | grep -q "backup\|backups\|bak\|old\|restore\|\.tar\|\.gz\|sftp-config"; then
+                block_ip "$ip" "Сканирование резервных копий и конфигурационных файлов"
+            fi
+            
+            # Проверяем на подозрительные поддомены
+            if echo "$line" | grep -q "bestcupcakerecipes\|usmc1\|test\|admin\|dev\|staging"; then
+                block_ip "$ip" "Попытка доступа к несуществующим поддоменам"
+            fi
+            
            # Проверяем на старые User-Agent
            if echo "$line" | grep -q "Chrome/[1-7][0-9]\."; then
                block_ip "$ip" "Подозрительный User-Agent (старый Chrome)"
            fi
            
+            if echo "$line" | grep -q "Safari/[1-5][0-9][0-9]\."; then
+                block_ip "$ip" "Подозрительный User-Agent (старый Safari)"
+            fi
+            
            # Проверяем на известные сканеры
            if echo "$line" | grep -qi "bot\|crawler\|spider\|scanner\|nmap\|sqlmap"; then
                block_ip "$ip" "Известный сканер/бот"