Hallo zusammen, ich versuche mich grad daran per grep und sed meine Apache Logfiles nach Codered auszuwerten. Leider nur mit mäßigem Erfolg. Ich stelle mir das so vor, das ich eine Liste der IP Adressen bekomme von denen ich angegriffen wurde. Hat jemadn sowas schon gemacht? Ich habe es soweit hinbekommen, das ich es als Kommandozeile funktionsfähig hab (zumindest fast wie ich es mir vorstelle): cat /var/log/httpd/access_log |grep default.ida |/bin/sed 's/"GET \/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u90 90%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3% u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP//' Leider funktiniert das ganze nicht in einem Script:-( Warum habe ich keine Ahnung. Vielleicht kann mir ja hier einer Weiterhelfen. Danke, Daniel -- www.linux-1on1.de Infos rund um Linux, Aufkleber, Tasse, T-Shirts und vieles mehr!!! ICQ: 102679548
* Daniel Henseleit
ich versuche mich grad daran per grep und sed meine Apache Logfiles nach Codered auszuwerten. Leider nur mit mäßigem Erfolg. Ich stelle mir das so vor, das ich eine Liste der IP Adressen bekomme von denen ich angegriffen wurde.
ungefaehr so? # grep 'default.ida' /var/log/httpd/access_log | cut -d' ' -f1 HTH Gruesse, Peter -- I must admit that Micro$oft does seem to bear an awful resemblence to the "Sirius Cybernetic Corporation". Considering that my attempts at using Word always resulted in something almost, but not quite, entire ly unlike a document. -- Rich Kaszeta
Am Sonntag, 26. August 2001 17:12 schrieb Daniel Henseleit:
Hallo zusammen,
ich versuche mich grad daran per grep und sed meine Apache Logfiles nach Codered auszuwerten. Leider nur mit mäßigem Erfolg. Ich stelle mir das so vor, das ich eine Liste der IP Adressen bekomme von denen ich angegriffen wurde. Hat jemadn sowas schon gemacht? Ich habe es soweit hinbekommen, das ich es als Kommandozeile funktionsfähig hab (zumindest fast wie ich es mir vorstelle):
cat /var/log/httpd/access_log |grep default.ida |/bin/sed 's/"GET \/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u90 90%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3% u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP//' Leider funktiniert das ganze nicht in einem Script:-( Warum habe ich keine Ahnung. Vielleicht kann mir ja hier einer Weiterhelfen.
a) useless use of cat b) Sehe ich das richtig, Du suchst nach dem gesamten Code-Red-String? Hat das einen Grund? c) Wie wärs denn damit: grep default.ida access_log|cut -d " " -f 1 >/var/log/httpd/code-red-ip Das ganze schreibt dann die IP-Adressen der entsprechenden Server in die Datei code-red-ip. Ob das allerdings das ist, was Du Dir vorstellst, weiß ich nicht. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
a) useless use of cat b) Sehe ich das richtig, Du suchst nach dem gesamten Code-Red-String? Hat das einen Grund? c) Wie wärs denn damit:
grep default.ida access_log|cut -d " " -f 1
/var/log/httpd/code-red-ip
Das ganze schreibt dann die IP-Adressen der entsprechenden Server in die Datei code-red-ip. Ob das allerdings das ist, was Du Dir vorstellst, weiß ich nicht.
Martin
Ja genau so. Ich hab halt überhaupt keinen Plan davon gehabt wie ich da vorgehn soll oder wie's funktioniert. Deine Version gefällt mir auch viel besser :-) Danke. Daniel
On Son, 26 Aug 2001, Daniel Henseleit wrote:
ich versuche mich grad daran per grep und sed meine Apache Logfiles nach Codered auszuwerten. Leider nur mit mäßigem Erfolg. Ich stelle mir das so vor, das ich eine Liste der IP Adressen bekomme von denen ich angegriffen wurde. Hat jemadn sowas schon gemacht? Ich habe es soweit hinbekommen, das ich es als Kommandozeile funktionsfähig hab (zumindest fast wie ich es mir vorstelle):
cat /var/log/httpd/access_log |grep default.ida |/bin/sed 's/"GET ^^^ useless use of cat ... 'grep OPTIONEN PATTERN DATEI'
Du willst doch die IP und nicht den referrer, oder? Also: grep 'GET.*/default.ida' /var/log/httpd/access_log | cut -d'-' -f1 Das liefert die IP/den Hostnamen von dem die Anfrage kam... Wenn du noch ein ' | sort -u' hinten anhaengst wird gleich noch sortiert und Doubletten entfernt. -dnh -- This is exactly how the World Wide Web works: the HTML files are the pithy descriptions on paper tape, and your Web browser is Ronald Reagan. -- Neal Stephenson, "In the Beginning was the Command Line"
On Sun, 26 Aug 2001, Daniel Henseleit wrote:
ich versuche mich grad daran per grep und sed meine Apache Logfiles nach Codered auszuwerten.
Ja, sehr interessant dieses Teil. In den vergangenen Werktagen hatten wir pro Stunde tagsueber ca. 10 Angriffe.
Ich stelle mir das so vor, das ich eine Liste der IP Adressen bekomme von denen ich angegriffen wurde.
cat /var/log/httpd/access_log |grep default.ida |/bin/sed 's/"GET \/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u90 90%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090 %u8190%u00c3% u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP//'
Probier einmal etwas dieser Art: grep default.ida /var/log/httpd.error_log | \ cut -b 44-58 | sed "s/[^0-9.]//g" Das tut es bei mir jedenfalls auf einer SuSE 6.1 gut. Allerdings liegt seit den neuen SuSEssen die Protokolldatei wohl unter /var/log/httpd Lies Dir dazu durch: man grep man regex man cut oder eine gute Dokumentation ueber regulaere Ausdruecke. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
Hallo Daniel, Hallo Liste! Am 26.08.2001 schrieb Daniel Henseleit:
Hallo zusammen,
ich versuche mich grad daran per grep und sed meine Apache Logfiles nach Codered auszuwerten. Leider nur mit mäßigem Erfolg. Ich stelle
http://teefax.pmnet.uni-oldenburg.de/scripts/index.php Gruss, Matthias -- | I'll bet you $5 USD (and these days, that's about a gadzillion Euros) | | that this explains it. - Linus Torvalds | +-----------------------------------------------------------------------+
participants (6)
-
Daniel Henseleit
-
David Haller
-
Martin Borchert
-
Matthias Pretzer
-
Peter Blancke
-
Peter Rudek