linux抓取僵尸网络进程脚本

用户3614279870033
225 阅读1分钟

安全运维过程中经常会发现安全设备防火墙或IPS有僵尸网络攻击告警,直接阻断很可能影响业务,很多时候需要到源ip主机上溯源。以下编写shell脚本,记录访问目的ip的进程,根据进程由业务人员查看是否为正常业务,进一步做研判。以下为脚本:

#!/bin/bash
read -t 30 -p "请输入僵尸网络IP:" IP_botnet
cmd_results=`netstat -anp | grep "$IP_botnet"`
while [ -z "$cmd_results" ]
	do
	cmd_results=`netstat -anp | grep "$IP_botnet"`
	sleep 2
	echo "......"
	echo ".............." >> output.txt
	done
currTime=$(date +"%Y-%m-%d %T")
echo $currTime >> output.txt
echo $cmd_results >> output.txt
echo ${#cmd_results}
echo "command results are: ${cmd_results##*/}"
echo "${cmd_results##*/}" >> output.txt
echo "捕获结束" >> output.txt

测试

图片.png 将以上代码复制粘贴保存为:catch_botnet.sh,运行 输入告警中发现的目的ip,这里测试为123.124.125.126, 记录时间、进程(这里为X-www-browser)到output.txt。

avatar
文章
阅读
粉丝