204 lines
8.9 KiB
Bash
Executable File
204 lines
8.9 KiB
Bash
Executable File
#!/bin/bash
|
|
|
|
# Copyright (c) 2024-2025 Тарабанов Александр Викторович
|
|
# All rights reserved.
|
|
#
|
|
# This software is proprietary and confidential.
|
|
# Unauthorized copying, modification, or distribution is prohibited.
|
|
#
|
|
# For licensing inquiries: info@hb3-accelerator.com
|
|
# Website: https://hb3-accelerator.com
|
|
# GitHub: https://github.com/VC-HB3-Accelerator
|
|
|
|
# Скрипт мониторинга безопасности для DLE
|
|
# Автоматически блокирует подозрительные IP адреса и домены
|
|
|
|
LOG_FILE="/var/log/nginx/access.log"
|
|
SUSPICIOUS_LOG_FILE="/var/log/nginx/suspicious_domains.log"
|
|
BLOCKED_IPS_FILE="/var/log/security-monitor/blocked_ips.txt"
|
|
SUSPICIOUS_DOMAINS_FILE="/var/log/security-monitor/suspicious_domains.txt"
|
|
NGINX_CONTAINER="dapp-frontend-nginx"
|
|
WAF_CONF_FILE="/etc/nginx/conf.d/waf.conf"
|
|
|
|
# Создаем файлы для хранения данных
|
|
touch "$BLOCKED_IPS_FILE"
|
|
touch "$SUSPICIOUS_DOMAINS_FILE"
|
|
|
|
echo "🔒 Запуск мониторинга безопасности DLE..."
|
|
echo "📊 Анализ логов nginx контейнера: $NGINX_CONTAINER"
|
|
echo "🚫 Заблокированные IP: $BLOCKED_IPS_FILE"
|
|
echo "🌐 Подозрительные домены: $SUSPICIOUS_DOMAINS_FILE"
|
|
|
|
# Список подозрительных доменов
|
|
SUSPICIOUS_DOMAINS=(
|
|
"akamai-inputs-"
|
|
"gosipgambar"
|
|
"gitlab.cloud"
|
|
"autodiscover.home"
|
|
"akamai-san"
|
|
"akamai-inputs-cleanaway"
|
|
"akamai-inputs-hgmccarterenglish"
|
|
"akamai-inputs-nbpdnj"
|
|
"akamai-inputs-rvc"
|
|
"akamai-inputs-erau"
|
|
"akamai-inputs-notion"
|
|
"bestcupcakerecipes"
|
|
"usmc1"
|
|
"test"
|
|
"admin"
|
|
"dev"
|
|
"staging"
|
|
"beta"
|
|
"demo"
|
|
"old"
|
|
"new"
|
|
"backup"
|
|
)
|
|
|
|
# Функция для создания WAF конфигурации
|
|
create_waf_config() {
|
|
echo "🔧 WAF конфигурация уже существует в nginx"
|
|
# WAF конфигурация уже создана при сборке контейнера
|
|
}
|
|
|
|
# Функция для блокировки IP
|
|
block_ip() {
|
|
local ip=$1
|
|
local reason=$2
|
|
|
|
# Исключаем внутренние Docker IP адреса
|
|
if [[ "$ip" =~ ^172\.(1[6-9]|2[0-9]|3[0-1])\. ]] || [[ "$ip" =~ ^10\. ]] || [[ "$ip" =~ ^192\.168\. ]]; then
|
|
echo "🔒 Пропускаем внутренний IP: $ip (причина: $reason)"
|
|
return
|
|
fi
|
|
|
|
# Проверяем, не заблокирован ли уже IP
|
|
if grep -q "^$ip$" "$BLOCKED_IPS_FILE"; then
|
|
return
|
|
fi
|
|
|
|
echo "$ip" >> "$BLOCKED_IPS_FILE"
|
|
echo "🚫 Блокируем IP: $ip (причина: $reason)"
|
|
|
|
# Логируем в файл для дальнейшей обработки
|
|
echo "$(date): $ip - $reason" >> "/var/log/security-monitor/blocked_ips_log.txt"
|
|
|
|
echo "✅ IP $ip заблокирован (логируется для manual review)"
|
|
}
|
|
|
|
# Функция для логирования подозрительных доменов
|
|
log_suspicious_domain() {
|
|
local domain=$1
|
|
local ip=$2
|
|
|
|
# Проверяем, не логировали ли уже этот домен
|
|
if grep -q "^$domain$" "$SUSPICIOUS_DOMAINS_FILE"; then
|
|
return
|
|
fi
|
|
|
|
echo "$domain" >> "$SUSPICIOUS_DOMAINS_FILE"
|
|
echo "🌐 Подозрительный домен: $domain (IP: $ip)"
|
|
|
|
# Блокируем IP, который обращается к подозрительному домену
|
|
if [ -n "$ip" ]; then
|
|
block_ip "$ip" "Обращение к подозрительному домену: $domain"
|
|
fi
|
|
}
|
|
|
|
# Функция для анализа Docker логов nginx
|
|
analyze_docker_logs() {
|
|
echo "🔍 Анализ Docker логов nginx на предмет атак..."
|
|
|
|
# Анализируем логи nginx контейнера (последние записи + следящий режим)
|
|
docker logs --tail 10 --follow "$NGINX_CONTAINER" 2>/dev/null | while read line; do
|
|
# Ищем HTTP запросы в логах (формат nginx access log)
|
|
if echo "$line" | grep -qE '"(GET|POST|HEAD|PUT|DELETE|OPTIONS)'; then
|
|
# Извлекаем IP адрес (первое поле в логе)
|
|
ip=$(echo "$line" | awk '{print $1}')
|
|
|
|
# Извлекаем метод и URI из кавычек "GET /path HTTP/1.1"
|
|
request_line=$(echo "$line" | grep -oE '"[^"]*"' | head -1 | sed 's/"//g')
|
|
method=$(echo "$request_line" | awk '{print $1}')
|
|
uri=$(echo "$request_line" | awk '{print $2}')
|
|
|
|
# Извлекаем User-Agent (последняя строка в кавычках)
|
|
user_agent=$(echo "$line" | grep -oE '"[^"]*"' | tail -1 | sed 's/"//g')
|
|
|
|
# Домен пока оставляем пустым (можно добавить парсинг из логов при необходимости)
|
|
domain=""
|
|
|
|
if [ -n "$ip" ]; then
|
|
echo "🔍 Анализируем запрос: $ip -> $domain -> $uri"
|
|
|
|
# Проверяем на подозрительные запросы
|
|
if echo "$uri" | grep -q "\.env\|\.config\|\.ini\|\.sql\|\.bak\|\.log"; then
|
|
block_ip "$ip" "Попытка доступа к чувствительным файлам: $uri"
|
|
fi
|
|
|
|
# Проверяем на сканирование резервных копий и архивов
|
|
if echo "$uri" | grep -q "backup\|backups\|bak\|old\|restore\|\.tar\|\.gz\|sftp-config"; then
|
|
block_ip "$ip" "Сканирование резервных копий и конфигурационных файлов: $uri"
|
|
fi
|
|
|
|
# Проверяем на подозрительные поддомены
|
|
if echo "$domain" | grep -q "bestcupcakerecipes\|usmc1\|test\|admin\|dev\|staging"; then
|
|
block_ip "$ip" "Попытка доступа к несуществующим поддоменам: $domain"
|
|
fi
|
|
|
|
# Проверяем на старые User-Agent
|
|
if echo "$user_agent" | grep -q "Chrome/[1-7][0-9]\."; then
|
|
block_ip "$ip" "Подозрительный User-Agent (старый Chrome): $user_agent"
|
|
fi
|
|
|
|
if echo "$user_agent" | grep -q "Safari/[1-5][0-9][0-9]\."; then
|
|
block_ip "$ip" "Подозрительный User-Agent (старый Safari): $user_agent"
|
|
fi
|
|
|
|
# Проверяем на известные сканеры
|
|
if echo "$user_agent" | grep -qi "bot\|crawler\|spider\|scanner\|nmap\|sqlmap"; then
|
|
block_ip "$ip" "Известный сканер/бот: $user_agent"
|
|
fi
|
|
|
|
# Проверяем на подозрительные домены
|
|
for suspicious in "${SUSPICIOUS_DOMAINS[@]}"; do
|
|
if echo "$domain" | grep -qi "$suspicious"; then
|
|
log_suspicious_domain "$domain" "$ip"
|
|
break
|
|
fi
|
|
done
|
|
|
|
# Проверяем на множественные запросы (DDoS)
|
|
request_count=$(docker logs "$NGINX_CONTAINER" | grep "$ip" | wc -l)
|
|
if [ "$request_count" -gt 100 ]; then
|
|
block_ip "$ip" "Подозрение на DDoS ($request_count запросов)"
|
|
fi
|
|
fi
|
|
fi
|
|
done
|
|
}
|
|
|
|
# Функция для показа статистики
|
|
show_stats() {
|
|
echo "📈 Статистика безопасности:"
|
|
echo "Заблокированных IP: $(wc -l < "$BLOCKED_IPS_FILE")"
|
|
echo "Подозрительных доменов: $(wc -l < "$SUSPICIOUS_DOMAINS_FILE")"
|
|
echo ""
|
|
echo "Последние заблокированные IP:"
|
|
tail -5 "$BLOCKED_IPS_FILE" 2>/dev/null || echo "Нет заблокированных IP"
|
|
echo ""
|
|
echo "Последние подозрительные домены:"
|
|
tail -5 "$SUSPICIOUS_DOMAINS_FILE" 2>/dev/null || echo "Нет подозрительных доменов"
|
|
}
|
|
|
|
# Инициализация WAF конфигурации
|
|
echo "🔧 Инициализация WAF конфигурации..."
|
|
create_waf_config
|
|
|
|
# Основной цикл
|
|
echo "🔄 Начинаем мониторинг безопасности... $(date)"
|
|
|
|
# Показываем начальную статистику
|
|
show_stats
|
|
|
|
# Запускаем анализ логов (блокирующий режим - будет работать постоянно)
|
|
analyze_docker_logs |