Le samedi 6 Novembre 2004 20:59, Yves Rutschle a �crit�:
> On Sat, Nov 06, 2004 at 08:30:29PM +0100, k13 wrote:
> > je vouderais faire un script qui verifie les connections Illegal sur ma
> > machine,
> > j'aurais aim� qu'il tourne toujours mais dans le /etc/rc2.d le probleme est
> > qu'il
> > n''est pas en tache de fond (pas en job mais comme sshd ou autre)
> > j'aurais aim� savoire si c'�t� possible de faire un script qui tourne tout
> > le temps
> > en tache de fond...
>
> > #!/bin/bash
> >
> > IP_ATTACK=`tail /var/log/auth.log | grep Illegal | awk -F "f:" '{print $2}'
> > | tail -1`
> > if [ -n "$IP_ATTACK" ]; then
> > $FILE_MON="/tmp/$IP_ATTACK.mon"
> > $TIME_MON=`date | awk -F"CEST" '{print $1}'`
> > echo "---ATTACKER: $IP_ATTACK" > $FILE_MON
> > tail /var/log/auth.log | grep Illegal >> $FILE_MON
> > ping "$IP_ATTACK" >> $FILE_MON
> > echo "---NMAP" >> $FILE_MON
> > nmap "$IP_ATTACK" >> $FILE_MON
> > echo "---TRACEROUTE:"
> > traceroute "$IP_ATTACK" >> $FILE_MON
> > mail [EMAIL PROTECTED] -s "ATTACK: $TIME_MON" < $FILE_MON
> > fi
>
> Je r��crirais �a en deux bouts: d'une part un script qui lit
> sur son entr�e, et processe en continu (que nous appellerons
> 'toto'):
>
> while read line; do
> IP_ATTACK=`echo $line | grep Illegal | awk -F "f:" '{print $2}'`
> if [ -n "$IP_ATTACK" ]; then
> $FILE_MON="/tmp/$IP_ATTACK.mon"
> $TIME_MON=`date | awk -F"CEST" '{print $1}'`
> echo "---ATTACKER: $IP_ATTACK" > $FILE_MON
> tail /var/log/auth.log | grep Illegal >> $FILE_MON
> ping "$IP_ATTACK" >> $FILE_MON
> echo "---NMAP" >> $FILE_MON
> nmap "$IP_ATTACK" >> $FILE_MON
> echo "---TRACEROUTE:"
> traceroute "$IP_ATTACK" >> $FILE_MON
> mail [EMAIL PROTECTED] -s "ATTACK: $TIME_MON" < $FILE_MON
> fi
> done
>
> Et d'autre part un script dans rc2.d pour le d�marrer, qui
> lance toto en t�che de fond sur le log en question:
>
> ( tail -f /var/log/auth.log | toto ) &
merci :p j'y avais pas pens� :p nikel mais en plus j'ai > /dev/tty6 pour faire
du monitoring :)
>
> > et si aussi vous sauriez se qui est le mieu pour retrouv� quelqu'un???
>
> Je ne comprend pas cette question. Perdu de vue � la t�l�?
>
enfete c'est trouv� quelq'un a partir d'une adresse IP.
whois
traceroute
mais je ne sais pas si il y a plus performent???
> Y.
GRAND MERCI Y.
>
>
> --
> Pensez � lire la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench
>
> Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
>
> To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
>
>
