jackieyuan

我自己写了一个很愚蠢的脚本，请大家指教。
最新更新在
http://linux.dalouis.com/computer/linux/nullida.html

现象描述
在 apache 的 log 文件中经常会有如下的记录行（以下是缩短后的例子）

1. 202.98.151.13 - - [28/Jan/2004:18:44:34 +0800] "GET /NULL.IDA?CCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
   
2. CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC%u0aeb%ub890%uf533%
   
3. u77e6%u0000%u0000%u838b%u0094%u0000%u408b%u0564%u0150%u0000%ue0ff%u9090=x&\x90\x90\x90\x90\x90
   
4. \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\a\x99\x99\x10\x1c\xde\x9
   
5. c\x99\x99q'\x98\x99\x99\x10\x1c\xd6\x9c\x99\x99\x12\x1c\xde\x9c\x99\x99q\xe6\x9b\x99\x99\x10\x1c\
   
6. xd2\x9c\x99\x99q\xc7\x99\x99\x99q\b\x99\x99\x99\x1aa\x99\xedy\x12\x1c\xd2\xf7\xf8\xf4\xfc\x99\xea\
   
7. xfc\xed\xea\xf6\xfa\xf2\xf6\xe9\xed\x99\x99\x99\xd5\xf6\xf8\xfd\xd5\xf0\xfb\xeb\xf8\xeb\xe0\xd8\x9
   
8. 9\xde\xfc\xed\xc9\xeb\xf6\xfa\xd8\xfd\xfd\xeb\xfc\xea\xea\x99\xea\xeb\x7f\xee\xa8\xe9\x7f\xee\x99\
   
9. xfa\xa4\x01b\xddcmd.exe$ HTTP/1.1" 404 4917 "-" "-"

复制代码

这些记录会使得一些 log 统计分析软件在统计的时候出现错误警告，同时我们也不希望经常被这些扫描者所骚扰，于是就试着写了一个脚本，把 apache 的 log 中的这些 IP 地址读取出来，以便以后在做 Iptables 的时候可以使用。 （这里参照了车东的脚本并感谢 Xiyang 的支持。)

脚本 下载

1. #!/bin/sh
   
2. 
   
3. ### null.ida_stat.sh, Ver. 0.1 2004/05/15 14:33:28 Kreny
   
4. 
   
5. LOG_FILE1='/usr/local/apache2/logs/www.domain1.com-access_log'
   
6. LOG_FILE2='/usr/local/apache2/logs/www.domain2.com-access_log'
   
7. 
   
8. ### You can add more log files here.
   
9. #LOG_FILE3='/usr/local/apache2/logs/www.domain3.com-access_log'
   
10. #LOG_FILE4='/usr/local/apache2/logs/www.domain4.com-access_log'
    
11. #LOG_FILE5='/usr/local/apache2/logs/www.domain5.com-access_log'
    
12. 
    
13. TMP_FILE='/home/user/public_html/ida.tmp'
    
14. FINAL_FILE='/home/user/public_html/ida.txt'
    
15. DATE=`date`
    
16. 
    
17. ### Get the IP addresses of NULL.IDA scanner
    
18. less $LOG_FILE1 | grep NULL.IDA | awk '{print $1}' > $TMP_FILE
    
19. less $LOG_FILE2 | grep NULL.IDA | awk '{print $1}' >> $TMP_FILE
    
20. #less $LOG_FILE3 | grep NULL.IDA | awk '{print $1}' >> $TMP_FILE
    
21. #less $LOG_FILE4 | grep NULL.IDA | awk '{print $1}' >> $TMP_FILE
    
22. #less $LOG_FILE5 | grep NULL.IDA | awk '{print $1}' >> $TMP_FILE
    
23. 
    
24. sort $TMP_FILE | uniq -c | sort -rn > $FINAL_FILE
    
25. echo "" >> $FINAL_FILE
    
26. echo "Last update:".$DATE >> $FINAL_FILE

复制代码

运行结果
点击这里察看我的运行结果

相关资料
扫描目的："IIS Index Server ISAPI扩展远程溢出"漏洞 ( /NULL.ida )

另外就是题外话了，虽然此类扫描对Linux主机的影响不是很大，但是类似的扫描时不可避免的，关键还是看怎么去发现和预防它。（某某人语) ;-)

应用在其他方面
awk 的强大功能可以运用在更多的地方,例如通过检查在qmailscaner的病毒隔离目录中的邮件,得出发邮件主机的IP地址,以便在Iptables 中进行一些设置。查看我的统计记录

1. less /var/spool/qmailscan/quarantine/new/*| grep 'HELO' | awk '{print $6}' | cut -d \( -f2 | cut -d \) -f1 | sort | uniq -c | sort -rn > /home/kreny/public_html/viruse_smtp.txt
   
2. echo 'Last Update:' >> /home/kreny/public_html/viruse_smtp.txt
   
3. date >> /home/kreny/public_html/viruse_smtp.txt  

复制代码

还有很多问题没有解决，比如说提出了病毒邮件的ip address以后，怎么样自动加到iptables里面去，是否可以用shell命令解决，之类等等～～ 请大家赐教！

随风漂

awk '/NULL.IDA /{print $1}' $LOG_FILE1 $LOG_FILE2|sort -u > $FINAL_FILE
用这个代码可以简化不少工作。

jackieyuan

QUOTE:

原帖由 "随风漂" 发表：
awk '/NULL.IDA /{print $1}' $LOG_FILE1 $LOG_FILE2|sort -u > $FINAL_FILE
用这个代码可以简化不少工作。

非常感谢！ 非常好用！ :em02:  :em02:

ports

>>jackieyuan
あなたは日本に居るんだ、どこなの？

jackieyuan

QUOTE:

原帖由 "ports" 发表：
>>jackieyuan
あなたは日本に居るんだ、どこなの？

  :em06:

yoursmile

QUOTE:

原帖由 "jackieyuan" 发表：

ports 写到:
>>jackieyuan
あなたは日本に居るんだ、どこなの？

  :em06:

你能看懂？
:em14:

jackieyuan

QUOTE:

原帖由 "yoursmile" 发表：


你能看懂？
:em14:

もちろん、わかるよ～

bjgirl

:( 居然有人以会用倭寇语为荣! 悲哀!!!

jackieyuan

[quote]原帖由 "bjgirl"]:( 居然有人以会用倭寇语为荣! 悲哀!!![/quote 发表：

你从哪里看出我以 倭寇语为荣？！ :em08:  贴出来！ 我在线上等你的回答！！ bjgirl ！:em08:

jackieyuan

[quote]原帖由 "bjgirl"]:( 居然有人以会用倭寇语为荣! 悲哀!!![/quote 发表：

请正视我的问题！