nmap +shell脚本实现内网端口巡检-阿里云开发者社区

nmap +shell脚本实现内网端口巡检

2017-11-23 1869

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

nmap的命令很多，这里就不介绍了，想了解的话，网上很多的文章可以参考。

#############################################################

通过nmap端口扫描获取开放的端口，以达到内网体检的目的

#############################################################

1、通过salt获得主机列表

 
         salt 
         '*' 
         cmd.run 
         'ifconfig|grep addr|sed -n "4p"|cut -d ":" -f 2|cut -d " " -f 1' 
         > 
         /root/hosts_list

获得的文件内容大致如下：

node1:

192.168.2.11

node2:

192.168.2.12

node3:

192.168.2.13

注意：

主机地址一定要是上面这种结构的，不然下面的sed后的结果不是纯IP列表，发给nmap扫描会报错的。

2、nmap对这个主机列表进行端口扫描

# 注意：刚开始没显式指定端口范围，发现例如27017这些端口都没扫描出来，后来就加了-p 1-65535参数，但是发现扫描特别慢，慎重考虑。

 
   
     
       
       
         sed 
         -n 
         'n;p' 
         /root/hosts_list
         |
         xargs 
         -p 1-65535 nmap -sS > 
         /tmp/port_list 
         && 
         egrep 
         "Nmap scan report|open" 
         /tmp/port_list 
         > 
         /tmp/list 
         && 
         rm 
         -f 
         /tmp/port_list 
        
 
     

    
  

获得的文件内容大致如下：

Nmap scan report for node1 (192.168.2.11)

22/tcp open ssh

Nmap scan report for node2 (192.168.2.12)

22/tcp open ssh

Nmap scan report for node3 (192.168.2.13)

22/tcp open ssh

3、每天执行一次下面的这个脚本，获取最新的开放的端口，并比对旧的数据，发现端口异动就自动报警。

 
   
     
       
      
         #!/bin/bash
        

         # Description: nmap扫描线上服务器的开放端口
        

         # Author: lirl
        

         # Date: 2016/10/02
        
 
         sed 
         -n 
         'n;p' 
         /root/hosts_list
         |
         xargs 
         nmap -p 1-65535 -sS > 
         /tmp/port_list 
         && 
         egrep 
         "Nmap scan report|open" 
         /tmp/port_list 
         > 
         /tmp/list_
         $(
         date 
         +%F) 
        
 
         if 
         [ $? -
         eq 
         0 ];
         then 
        
 
         if 
         ! 
         diff 
         /tmp/list 
         /tmp/list_
         "$(date +%F)" 
         -y -W 100 > 
         /tmp/port_change_list 
         2> 
         /dev/null 
         ;
         then 
        
 
         echo 
         -e 
         "[+] some port changed $(date +%F) , Please check file /tmp/port_change_list.\n"  
         >> 
         /tmp/openports_stats 
        

         # mail -s "Port stats Changed,Please login salt to check." xxxx@126.com < /tmp/port_change_list
        

         else
        
 
         echo 
         -e 
         "[-] none port changed $(date +%F).\n" 
         >> 
         /tmp/openports_stats 
        

         fi
        

         fi
        
 
     

    
  

获得的/tmp/port_change_list 文件内容大致如下：

Nmap scan report for node1 (192.168.2.11)Nmap scan report for node1 (192.168.2.11)

22/tcp open ssh22/tcp open ssh

Nmap scan report for node2 (192.168.2.12)Nmap scan report for node2 (192.168.2.12)

22/tcp open ssh22/tcp open ssh

Nmap scan report for node3 (192.168.2.13)Nmap scan report for node3 (192.168.2.13)

22/tcp open ssh22/tcp open ssh

80/tcp open http <

3306/tcp open mysql <

很明显，我们能看出哪些端口是增加的或者减少的。

4、如果确定当前端口是正常流程修改的，可以更新端口列表模板

 
         cp 
         /tmp/list_
         $(
         date 
         +%F) 
         /tmp/list

基本上完成这几步骤，就差不多了，还有很多不完善的地方，等想到了在补充进来。

本文转自 lirulei90 51CTO博客，原文链接：http://blog.51cto.com/lee90/1858381，如需转载请自行联系原作者

nmap +shell脚本实现内网端口巡检

热门文章

最新文章

相关课程

相关电子书

相关实验场景