Bad Bots monitor Zabbix apache/nginx log + trigger + Telegram

Bad Bots Amazon AWS Featured

Néjen odvětvi finančních služeb je pro kyberzločince a jejich Bad Bots cenným cílem. V posledních letech se díky sofistikovanějším botnetům a dalším metodám útoků „zlých botů“ podařilo šedé zóne zvýšit rychlost útoků na řadu sektorů. Čtyři nejčastější způsoby, jak jsou nasazovány botnety, jsou podvody s kreditními kartami, útoky typu ATO (Account Takeover), útoky typu DDoS (Distributed Denial of Service) a vyškrabávání obsahu z webových stránek, e-shopů a dalších. Existuje celá řada útoků, každý z těchto způsobů útoku má ale pro postiženou organizaci vlastní, specifické důsledky.

Bad Bots monitor Zabbix Item

V dnešním článku se budeme zabývat jednoduchou konfigurací v monitorovacím systému Zabbix, která bude prohledávat protokoly záznamů a pomocí zprávy odeslané na přednastavený Telegram chat účet upozorňovat na případnou scrape eskalaci.

Bad Bots monitor Zabbix item
Bad Bots monitor Zabbix item

Item. Konfigurace monitorovací položky Zabbix serveru. Klíčový hledaný výraz v přístupovém protokolu HTTP serveru (apache / nginx atp) je python-requests. V jedné konfiguraci lze samozřejmě nastavit libovolné množství klíčových slov, které chceme v logu monitorovat..

log[/var/log/httpd/domena.cz/access.log,python-requests,,,skip]

[4] Čárky za výrazem python requests jsou ze 3 nevyužitých konfigiračních možností které umažeme ale pro vynechání je nutné nechat jakoby prázdné místa. Proto ,,,
[Skip] na konci konfigurace znamená, že prohledávání logu začne od datumu a času spuštení konfigurace. Ne od začátku souboru se záznamem aktivity.

Bad bots Zabbix Trigger

Tři tečky před uloženou Item položkou je menu které mimojiné nabídne zobrazení i možnost vytvořit nový spouštěč (trigger). Výhodou použití menu u Item (položky) je předvyplnění výrazu pro vytvářený trigger, z Item šablony. Výraz (expression) obsahuje zejména hosta, cestu a výraz, vše převedené do funkce.

func(/domena.cz/log[/var/log/httpd/domena.cz/access.log,python-requests,,,skip])
Bad Bots monitor Zabbix trigger
Bad Bots monitor Zabbix trigger

Samozřejme lze [(pomocí pravého menu Přidat (Add)] vytvořit vlastní, zcela nový výraz. Výsledek v rozhraní monitoringu pak může vypadat nějak takhle..

Zabbix Panel (dashboard)
Zabbix Panel (dashboard)

Telegram chat notifikace

Zabbix Telegram chat notifikace
Bad Bot Zabbix trigger
Zabbix Telegram chat skript tweak
Zabbix Telegram chat skript tweak
Zpráva v Telegram aplikaci
Zpráva v Telegram aplikaci

Užitečné

Text ZeroTier a aktivní zabbix-agent z neveřejné IP adresy
Text 50% provozu HTTP serveru Bad Bots
Dokumentace Zabbix trigger

TelegramFacebookE-Mail

Související příspěvky:

  1. Discourse ISPconfig + Apache + Nginx Reverse Proxy Debian 10/11
  2. Telegram Zabbix 6 webhook skript property toLowerCase
  3. ZeroTier One + Zabbix Agent. Zabbix Server na neveřejné IP adrese
  4. Roundcube 1.6 + Nginx + Debian 11 + PHP 8.2
ICTIS.CZ