Question

Справочная информация: я использую сценарий Perl, который отправляет отчеты о злоупотреблениях на сайт abuseipdb.com. В скрипте есть только одна категория по умолчанию (14 сканирование портов), но я хочу указать правильную категорию / категории для отчетов о злоупотреблениях. Отправка категории осуществляется по номеру. Возможны несколько категорий, разделенных запятой ','.

Список категорий: https://www.abuseipdb.com/categories

Источник скрипта: https://www.abuseipdb.com/csf , прокрутите примерно наполовину вниз, чтобы найти «abuseipdb_report.pl».

Я изменил скрипт, чтобы сканировать файлы журнала на предмет ключевых слов и, если обнаружено, присваивать ему правильный номер категории. (Недостаток: таким образом можно использовать только 1 номер категории.)

Работает , но далеко не красиво. Обработка всех этих операторов if и elsif займет много времени.

Вот фрагменты, которые я приготовил. (это работает!)

my $cat = '14';
my $logs = $ARGV[6];
if    ($logs =~ m/DOS-PROTECTION/)      {$cat = '4';}
elsif ($logs =~ m/PROTOCOL-ENFORCEMENT/){$cat = '15';}
elsif ($logs =~ m/PROTOCOL-ATTACK/)     {$cat = '15';}
elsif ($logs =~ m/DATA-LEAKAGES/)       {$cat = '16';}
elsif ($logs =~ m/IP-REPUTATION/)       {$cat = '19';}
elsif ($logs =~ m/SCANNER-DETECTION/)   {$cat = '19';}
elsif ($logs =~ m/APPLICATION-ATTACK/)  {$cat = '21';}
elsif ($logs =~ m/METHOD-ENFORCEMENT/)  {$cat = '23';}

my $data = {
    ip => $ARGV[0],
    comment => $comment,
    categories => $cat
};

Я пробовал массивы и циклы foreach, но я новичок в Perl и не могу заставить это работать. Так что я застрял в коде if elsif.

Итак, теперь у вас есть представление о том, что я пытаюсь выполнить sh.

Есть ли более умный и быстрый способ, возможно, включающий несколько категории?

Пример $ logs:

2020/08/07 06:25:11 [error] 16769#0: *40996 [client 174.xxx.xxx.185] ModSecurity: Access denied with code 406 (phase 2). Matched "Operator `Within' with parameter `.asa/ .asax/ .ascx/ .axd/ .backup/ .bak/ .bat/ .cdx/ .cer/ .cfg/ .cmd/ .com/ .config/ .conf/ .cs/ .csproj/ .csr/ .dat/ .db/ .dbf/ .dll/ .dos/ .htr/ .htw/ .ida/ .idc/ .idq/ .inc/ .ini/ .key/ .licx/ .ln (150 characters omitted)' against variable `TX:EXTENSION' (Value: `.bak/' ) [file "/etc/modsecurity.d/REQUEST-920-PROTOCOL-ENFORCEMENT.conf"] [line "1015"] [id "920440"] [rev ""] [msg "URL file extension is restricted by policy"] [data ".bak"] [severity "2"] [ver "OWASP_CRS/3.3.0"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-protocol"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/210/272"] [tag "PCI/6.5.10"] [hostname "46.xxx.xxx.137"] [uri "/wp-config.php.bak"] [unique_id "159678151143.002383"] [ref "o13,4o14,3v5,17o35,5t:urlDecodeUni,t:lower
 case"], client: 174.xxx.xxx.185, server: <removed>, request: "GET /wp-config.php.bak HTTP/1.1", host: "<removed>", referrer: "http://<removed>/"

Второй пример $ logs:

2020/08/07 06:52:14 [error] 16769#0: *42613 [client 195.xxx.xxx.89] ModSecurity: Access denied with code 406 (phase 2). Matched "Operator `Rx' with parameter `(?i)(?:\x5c|(?:%(?:c(?:0%(?:[2aq]f|5c|9v)|1%(?:[19p]c|8s|af))|2(?:5(?:c(?:0%25af|1%259c)|2f|5c)|%46|f)|(?:(?:f(?:8%8)?0%8|e)0%80%a|bg%q)f|%3(?:2(?:%(?:%6|4)6|F)|5%%63)|u(?:221[56]|002f|EFC8|F025)|1u|5 (400 characters omitted)' against variable `REQUEST_URI_RAW' (Value: `/forum/../forum/index.php' ) [file "/etc/modsecurity.d/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "29"] [id "930100"] [rev ""] [msg "Path Traversal Attack (/../)"] [data "Matched Data: /../ found within REQUEST_URI_RAW: /forum/../forum/index.php"] [severity "2"] [ver "OWASP_CRS/3.3.0"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/255/153/126"] [hostname "46.xxx.xxx.137"] [uri "/forum/../forum/index.php"] [unique_id "15967831
 3492.204063"] [ref "o6,4v4,25"], client: 195.xxx.xxx.89, server: <removed>, request: "GET /forum/../forum/index.php HTTP/1.1", host: "<removed>"

Теперь я сопоставляю файлы .conf из modsecurity. Но, может быть, лучше проверить комментарии "тегов".

Решение С помощью приведенных здесь ответов я получил это решение, которое мне подходит. Единственное, что мне осталось сделать, это настроить массив.

my $logs = "attack-protocol attack-reputation-scanner attack PROTOCOL-ENFORCEMENT   ";
my %categories = (
    'DOS-PROTECTION'        =>  4,
    'PROTOCOL-ENFORCEMENT'  => 15,
    'PROTOCOL-ATTACK'       => 15,
    'DATA-LEAKAGES'         => 16,
    'IP-REPUTATION'         => 19,
    'SCANNER-DETECTION'     => 19,
    'APPLICATION-ATTACK'    => 21,
    'METHOD-ENFORCEMENT'    => 23,
    'attack-lfi'            => 10,
    'attack-protocol'       => 11,
    'attack-reputation-scanner' => 12,
    'attack'                => 15,
);

my @cats = ();
for (keys %categories) {
  if ($logs =~ /$_/) {
    push @cats, $categories{$_};
  }
}

my %hash = map { $_ => 1 } @cats;
@cats = keys %hash;

print categories => join ',', @cats,;

Dave Mitchell · Answer 1 · 07 августа 2020

Обычный способ сделать это - объединить все жетоны, которые вы ищете, в одно чередование, которое можно сопоставить один раз. Например,

my %keys = (
    'DOS-PROTECTION', 4,
    'PROTOCOL-ENFORCEMENT', 15,
    # ....
);
my $pattern = join '|', map quotemeta, sort keys %keys;
$pattern = qr/($pattern)/;

while (<DATA>) {
    my $cat = 14;
    $cat = $keys{$1} if /$pattern/;
    print "[$cat]\n";
}

__DATA__
blah blah DOS-PROTECTION blah blah
blah blah PROTOCOL-ENFORCEMENT blah blah
blah blah
blah blah

Dave Cross · Answer 2 · 07 августа 2020

Одним из очевидных улучшений является хранение ваших категорий в массиве. Таким образом, вы можете представить несколько категорий:

my @cats = (14);

my $logs = $ARGV[6];
if    ($logs =~ m/DOS-PROTECTION/)          { push @cats, 4;}
elsif ($logs =~ m/PROTOCOL-ENFORCEMENT/)    { push @cats, 15;}
# etc...

my $data = {
  ip => $ARGV[0],
  comment => $comment,
  categories => join ',', @cats,
};

Я бы также рассмотрел подход, основанный на данных, при котором строки, которые вы сопоставляете, хранятся в ha sh вместе со связанными категориями.

my %categories = (
  'DOS-PROTECTION'       =>  4,
  'PROTOCOL-ENFORCEMENT' => 15,
  # etc...
);

Затем вы можете использовать al oop для проверок:

my @cats = (14);

my $logs = $ARGV[6];

for (keys %categories) {
  if ($logs =~ /$_/) {
    push @cats, $categories{$_};
  }
}

#! / usr / bin / perl, как сопоставить ключевые слова в строке с числами

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

#! / usr / bin / perl, как сопоставить ключевые слова в строке с числами

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов