Lancer un script BASH permettant de récupérer une liste d’IP Botnet malveillant une fois par jour via crontab ,  afin de les ajouter à vos règles firewall.

• https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt

Création du répertoire Projet

[root@XXXXXXXX chris]# mkdir Ban_BotNet
[root@XXXXXXXX chris]# # cd Ban_BotNet

Installation Dos2unix

[root@XXXXXXXX Ban_BotNet]# yum install dos2unix

Le Script

#!/bin/bash

APP_LOG=BanBotnet.log
APP_HOME=/home/chris/Ban_BotNet
URL_BOT=https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt
CE_JOUR=`date +%F`

echo "-------------------------------------------"
echo " Suppression des fichiers périmés J-1 "
echo "-------------------------------------------"
echo ""

if [[ -f $APP_HOME/ipblocklist_recommended-1.txt ]]
then
 echo "On efface le fichier d'hier..."
 rm -f $APP_HOME/ipblocklist_recommended-1.txt
fi

if [[ -f $APP_HOME/ipblocklist_recommended.txt ]]
then
 echo "On efface le fichier d'hier..."
 rm -f $APP_HOME/ipblocklist_recommended.txt
fi

if [[ -f $APP_HOME/ip_firewall_block.txt ]]
then
 echo "On efface le fichier d'hier..."
 rm -f $APP_HOME/ip_firewall_block.txt
fi

echo "-------------------------------------------"
echo "On récupère le fichier des BOTNET du jour "
echo "-------------------------------------------"
echo ""
wget -O - https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt |grep -v "#" >> $APP_HOME/ipblocklist_recommended.txt
touch $APP_HOME/ipblocklist_recommended-1.txt
dos2unix -850 -n $APP_HOME/ipblocklist_recommended.txt $APP_HOME/ipblocklist_recommended-1.txt

echo "-------------------------------------------"
echo "On récupère la liste des IP déjà bloquées "
echo "-------------------------------------------"
echo ""
firewall-cmd --list-all >> $APP_HOME/ip_firewall_block.txt

## Traitement des IP à Bannir
for IP in `cat $APP_HOME/ipblocklist_recommended-1.txt`
 do
 ## Verifie si Déja Bloqué
 FIRE=`cat $APP_HOME/ip_firewall_block.txt |grep $IP |wc -l`
 if [[ $FIRE != 0 ]]
 then

 echo "-----------------------------------------------------------------"
 echo "Cette IP : $IP est déjà bloquée dans le Firewall"
 echo "-----------------------------------------------------------------"
 echo "$CE_JOUR : $IP est déjà bloquée dans le Firewall" >> $APP_HOME/$APP_LOG

else
 echo "-----------------------------------------------------------------"
 echo " Mise en Reject de l'IP : $IP dans le Firewall"
 echo "-----------------------------------------------------------------"
 firewall-cmd --add-rich-rule='rule family=ipv4 source address='$IP' reject' --permanent
 echo "$CE_JOUR : $IP ajouter dans le Firewall" >> $APP_HOME/$APP_LOG
 echo ""
 fi
 done

echo "------------------------------------------------------------"
echo "Application des nouvelles règles de Blocage sur le Firewall "
echo "------------------------------------------------------------"
echo ""

firewall-cmd --reload

Lancement du Script

[root@ XXXXXXXX Ban_BotNet]# ./Bannir_Botnet.sh

Lancement du script et récupération des prérequis pour le traitement des IP à Bannir

Lancement des bannissements des IP s’ils ne sont pas présente dans le Firewall.

Application des nouveaux bannissements dans les « Rules » du firewall.

[root@XXXXXXXX Ban_BotNet]# firewall-cmd --list-all

IP des BotNet bloquées par votre Firewall.

Dans le log de notre Script

[root@XXXXXXXX Ban_BotNet]# cat BanBotnet.log

Il vous reste à présent , de positionner votre script dans un crontab tous les matins à 6H00

Views: 28

L’article MODOP – Bloquer les IP Botnet malveillant est apparu en premier sur CoffeeBreak Info.

• https://www.ipdeny.com/ipblocks/

Dans notre exemple nous allons bannir l’ISLANDE d’accès sur un serveur VPS.

L’iso Code est : IS et ce pays possède 136 Subnet.

• https://www.ipdeny.com/ipblocks/data/countries/is.zone

Pour la RUSSIE , l’ISO code est : ru

Le but est donc d’ajouter au firewall les 136 block.

Script BASH

[root@vps-xxxxxxxx chris]# vi Bannir_country.sh

#!/bin/bash
PAYS_ISO=$1
 echo "Ban IP of country $PAYS_ISO"
for IP in `wget -O - https://www.ipdeny.com/ipblocks/data/countries/"${PAYS_ISO[@]}".zone --no-check-certificate`
 do
 echo " Bloquer le range $IP"
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='$IP' reject"
 done
firewall-cmd --reload

[root@vps-xxxxxxxx chris]# chmod +x Bannir_country.sh

Le principe du script

[root@vps-xxxxxxxx chris]# ./Bannir_country.sh « ISO Country »

Je me connecte en VPN via l’ISLANDE pour accéder à mon serveur en France et se positionner comme un Islandais souhaitant se connecter sur le serveur Français.

Donc je suis en Islande et plus précisément à Keflavik.(Sans bouger de mon canapé  )

Mon IP dans cette ville est « 45.133.192.108 »

Lancement du script boquant l’Islande sur le Serveur

[root@vps-xxxxxxxx chris]# ./Bannir_country.sh is

Check «Block » IP Islande (Côté serveur)

Mon IP de provenance est 45.133.192.108 vérifions que celle-ci est bien « Banni » par le Firewall.

[root@vps-xxxxxxxx chris]# firewall-cmd --list-rich-rules |grep 45.133

[root@vps-xxxxxxxx chris]# iptables -L > liste_firewall
[root@vps-xxxxxxxx chris]# cat liste_firewall |grep 45.133

Check «Block » IP Islande (Côté client en ISLANDE)

L’accès Apache au site Français via l’ISLANDE

Débloquer le pays récemment « REJECT »

Script BASH 

[root@vps-xxxxxxxx chris]# touch Accept_country.sh
[root@vps-xxxxxxxx chris]# vi Accept_country.sh

#!/bin/bash
PAYS_ISO=$1
 echo "Ban IP of country $PAYS_ISO"
for IP in `wget -O - https://www.ipdeny.com/ipblocks/data/countries/"${PAYS_ISO[@]}".zone --no-check-certificate`
 do
 echo " Bloquer le range $IP"
firewall-cmd --permanent --remove-rich-rule="rule family='ipv4' source address='$IP' reject"
 done
firewall-cmd --reload

[root@vps-xxxxxxxx chris]# chmod +x Accept_country.sh

[root@vps-xxxxxxxx chris]# ./Accept_country.sh is

Views: 34

L’article MODOP – Bloquer/Débloquer Subnet IPv4 d’un pays sur firewall est apparu en premier sur CoffeeBreak Info.