lukaschemp 27 Zgłoś post Napisano Kwiecień 25, 2008 Skrypt ten analizuje logi z serwera FTP i jeśli natrafi na pliki ze słowami które są zdefiniowane w skrypcie to wysyła powiadomienie na adres email z informacją na jakim serwerze wykryto potencjalne zagrożenie i log z serwera. #!/bin/bash find /var/log/messages -mtime -1 | xargs egrep -i 'bank|ebay|paypal|visa|mastercard' > ftptmp num=`cat ftptmp| wc -l`; max=10 if [ "$num" -gt "$max" ]; then server=`hostname` cat ftptmp | mail -s "Sprawdź - phishing na $server" twoj@adres.email.pl fi Przykładowy adres email: Temat: Sprawdź - phishing na srv1.serwer.pl Treść: Apr 25 23:47:31 srv1 pure-ftpd: (lukas@domena.pl@127.0.0.1) [NOTICE] /home/lukas/public_html/dupa//bank_dupa.txt uploaded (0 bytes, 0.00KB/sec) Apr 26 00:01:02 srv1 pure-ftpd: (lukas@domena.pl@127.0.0.1) [NOTICE] /home/lukas/public_html/dupa//mastercard_cipka.txt uploaded (0 bytes, 0.00KB/sec) Apr 26 00:01:22 srv1 pure-ftpd: (lukas@domena.pl@127.0.0.1) [NOTICE] /home/lukas/public_html/dupa//visatest.txt uploaded (0 bytes, 0.00KB/sec) Może to pomóc w wykryciu wysyłania plików związanych z phishingiem. Najlepiej poszukać w necie scam page (czyli podrobione strony banków) i zobić listę na ich podstawie. Skrypt najlepiej dodać do cron'a. Udostępnij ten post Link to postu Udostępnij na innych stronach
