Ultima modifica:
Articolo Completo
Potete trovare l'articolo sul mio blog personaleLink: https://greco-alessandro.netlify.ap...di-log-ed-estrarne-gli-indirizzi-ip-con-perl/
Guida
In questa guida vedremo come possiamo usare uno dei linguaggio più efficienti e semplici che io conosca.Questo linguaggio è Perl e personalmente lo uso come linguaggio da uno script e via vista la semplicissima sintassi(decisamente intuitiva) e visto che è davvero veloce e leggero nelle operazioni.
File necessari
Utilizzerò un file di log pubblico accessibile cliccando qui che, come potete leggere, rappresenta un file di log di OpenSSH.Ovviamente bisogna avere perl sul proprio computer e per questo esistono diverse guide sull'internet su come installarlo.
Competenze necessarie
Non sono richieste grandi competenze di programmazione vista la semplicità di utilizzo ma se non hai mai visto il linguaggio potresti non capire bene l'utilizzo di alcune variabili e costrutti.E' fortemente consigliato studiare le regex, a proposito di questo vi lascio il link di Regex101 che è un ottimo sito sul quale allenarsi.
Creazione dello script
Per vedere questo contenuto, devi Accedere o Registrarti.
Fine
Una volta fatto ciò vi ritroverete un file con tutti gli indirizzi ip che hanno provato a effettuare un attacco.Extra - Raccolta dati whois
Ho voluto aggiungere una funzionalità secondo me molto interessante, ovvero l'utilizzo del comando whois per recuperare i dati che vogliamo senza dover fare poi una ricerca manuale.Questa cosa dovrebbe far capire chi non è avvezzo a questo programma la semplicissima dinamicità nella stesura del codice.
Codice
Per vedere questo contenuto, devi Accedere o Registrarti.
Esempio di output
Extra - Settare il Firewall per droppare le richieste da IP blacklistati
Avendolo trattato in un commento lascio solo il link -> Clicca qui <-Conclusione
Questa è, come sempre, una base sulla quale studiare.Non andate a bannare i primi ip che vengono rilevati perché può capitare che il realtà non era un attacco ma magari è stato solo rilevato negativamente.
Ho preferito sovrascrivere al file e non aggiungere perché questa modalità di scripting la vedo come "C'è un problema -> Lo rilevo -> Lo risolvo -> Butto il codice".
Detto ciò buon lavoro e buona programmazione
Link Utili
[Extra] Sito Ufficiale Perl[File] File di log usato
[File] Repository
[Tool] Regex101
[Studio] Regex
[Studio] die
[Studio] hash
[Studio] Tipologia di attacco rilevata e gestita nella guida