Rule does not generate

@modice · Регистрация: 21.09.2017

Author24 — интернет-сервис помощи студентам

автор кода не я. уровень знаний абсолютный новичок. корректировал некоторые данные основываясь на логике и подсказках гугла. скрипт не работает до конца как я понял, потому как после запуска выдается лишь "MY BLACKLIST rule does not generate."
в чем косяк?

PowerShell

$regex2 = [regex] "Сетевой адрес источника:\t(\d+\.\d+\.\d+\.\d+)";
$MyIp = "192.168.1.111";
$deny_count = 5;
$deny_rule_name = "MY BLACKLIST"
###################### Config ######################
$fw=New-object -comObject HNetCfg.FwPolicy2; 
$RuleCHK=$fw.rules | where-object {$_.name –eq $deny_rule_name}
if(!$RuleCHK){ $deny_rule_name + " rule does not generate."; exit; }
$blacklist = @();
$list ="";
$startTime = (get-date);
"-----------------------------"
"log searching Start : " + $startTime;
"-----------------------------"
$ips = get-eventlog Security | Where-Object {$_.EventID -eq 4625 } | foreach {
$m = $regex2.Match($_.Message); $ip = $m.Groups[1].Value; $ip; } | Sort-Object | Tee-Object -Variable list | Get-Unique
if($list.length -gt 0) {
foreach ( $attack_ip in $list)
{
if($attack_ip){
$myrule = $fw.Rules | where {$_.Name -eq $deny_rule_name} | select -First 1; 
if (-not ($blacklist -contains $attack_ip))
{
$attack_count = ($list | Select-String $attack_ip -SimpleMatch | Measure-Object).count;
if ($attack_count -ge $deny_count) {
if (-not ($myrule.RemoteAddresses -match $attack_ip) -and -not ($attack_ip -like $MyIp))
{
"Found RDP attacking IP on 3389: " + $attack_ip + ", with count: " + $attack_count;
$blacklist = $blacklist + $attack_ip;
"Adding this IP into firewall blocklist: " + $attack_ip;
$myrule.RemoteAddresses+=(", "+$attack_ip);
netsh.exe advfirewall firewall add rule name="$deny_rule_name" dir=in action=block localip=any remoteip="$attack_ip" profile="any"
interfacetype="any"
#echo $attack_ip >> C:\BlackListIP.txt
} else {
$attack_ip + " : Already registered IP"
}
}
}
}
}
$answer = read-host "`ndo you want delete security event log, yes or no"
if ($answer -like "*y*" -and -not $Verbose) {
Clear-EventLog -LogName Security
cls
"Security event log has been deleted"
}
else {
# "`nScript terminated.`nPlease use your testing VM instead.`n" ; exit
}
}else{
"Ошибка аутентификации. Журнал событий отсутствует.."
}
$endTime = (get-date);
"-----------------------------"
" Общее время : " + ($endTime — $startTime ) ;
"…Done…"
"-----------------------------"

@KDE777 · 21.11.2017, 18:58

Сообщение от modice

2008 r2 enterprise sp1

Такого под рукой нет, поэтому проверить не могу...

На 2012R2 и выше, я бы переписал весь этот скрипт иначе:

- IP для блокировки находить в журнале: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
- Правило фаервола менять с помощью стандартного Set-NetFirewallRule

@modice · 21.11.2017, 19:01 **[ТС]**

на 2012R2 этот код работать не будет?

@KDE777 · 21.11.2017, 20:17

Сообщение от modice

на 2012R2 этот код работать не будет?

Если вы про ваш скрипт, то с виду должен работать и на 2012R2. Просто я имел в виду, что на 2012R2 для решения этой задачи, можно обойтись без всяких regex и New-object:

PowerShell

$TimeInterval = 10 #minutes
$MaxCount = 5
$FirewallRuleName = "MY BLACKLIST"
$rule = "Windows Inbound Firewall Rule: `"$FirewallRuleName`""
 
function Write-Log ($str) { "$((Get-Date).ToString()) $str" | ac 'C:\Temp\BLACKLIST.txt' -Encoding Unicode}
 
$Events = Get-WinEvent -EA SilentlyContinue -FilterHashtable @{`
    LogName = “Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational”;`
    StartTime = (Get-Date).AddMinutes(-$TimeInterval);`
    Level = 3;`
    ID = 140}
 
$FirewallRule = Get-NetFirewallRule -Direction Inbound -Enabled True -Action Block | ? DisplayName -eq $FirewallRuleName
 
foreach ($item in $Events | select @{N='IPString';E={([xml]$_.ToXml()).Event.EventData.Data.InnerText}} | group IPString | ? Count -ge $MaxCount)
{
       
    $IP = $item.Name
    
    Write-Log "Обнаружено $($item.Count) попыток RDP-входа (с неправильным логином или паролем) на сервере: $env:COMPUTERNAME с IP: $IP"
            
    if ($FirewallRule)
    {
        $RemoteAddress = @(($FirewallRule | Get-NetFirewallAddressFilter).RemoteAddress)
        
        if ($RemoteAddress -contains $IP)
        {
            "IP: $IP уже есть в $rule" | ac $LogFile -Encoding Unicode
        }
        else
        {
            $RemoteAddress += $IP
            $FirewallRule | Set-NetFirewallRule -RemoteAddress $RemoteAddress
            Write-Log "IP: $IP добавлен в $rule"
        }
    }
    else
    {
        Write-Log "IP: $IP не заблокирован, т.к. $rule - не найдено!"
    }    
       
}

@modice · 22.11.2017, 10:14 **[ТС]**

в чем может быть затык со скриптом, почему в PowerShell ISE все работает а через PowerShell нет(((((((( скрипт точно рабочий, что ему еще надо?

Добавлено через 10 минут
или может есть способ как то досконально посмотреть что и как делает скрипт во время выполнения, на чем затыкается?

@KDE777 · 22.11.2017, 10:31

Сообщение от modice

или может есть способ как то досконально посмотреть что и как делает скрипт во время выполнения, на чем затыкается?

Start-Transcript

+ для проверки, просто запустите в cmd

Код

powershell -file "c:\scripts\script01.ps1"

@modice · 22.11.2017, 11:02 **[ТС]**

-----------------------------
log searching Start : 11/22/2017 07:58:34
-----------------------------
-----------------------------
Total time taken: 00:00:12.7968750
Done
-----------------------------
это из cmd, иными словами он ничего не делает.
Start-Transcript ничего не пишет в логи кроме того что указано в самом скрипте.

Добавлено через 2 минуты
у меня чувство что есть какой то кэш, или что то вроде того. ise же работает..... это не дает покоя

@KDE777 · 22.11.2017, 11:29

Сообщение от modice

это из cmd, иными словами он ничего не делает.

А вы уверены, что за последние 10 минут у вас есть нужные события?

PowerShell

1	get-eventlog Security -after (Get-Date).AddMinutes(-10)\| Where-Object {$_.EventID -eq 4625}

@modice · 22.11.2017, 11:45 **[ТС]**

я увеличивал интервал до нескольких часов чтоб наверняка захватить все что есть

Добавлено через 2 минуты
могу в реальном времени продемонстрировать, путем скайпа например.

Добавлено через 9 минут
есть один момент, время четко указано, он сразу выводит события попадающие в этот интервал. но, после как вывел результаты он как будто что то делает еще, может быть продолжает смотреть дальше логи.

@KDE777 · 22.11.2017, 11:46

...

@modice · 22.11.2017, 12:13 **[ТС]**

что то не то сказал?

Добавлено через 23 минуты
повторю что разница в действиях на двух идентичных машинах была в моей ошибке внесения правильного ip на первой машине. на второй все работает идеально. скрипты идентичны за исключением MyIp.

@KDE777 · 22.11.2017, 13:22

Сообщение от modice

повторю что разница в действиях на двух идентичных машинах была в моей ошибке внесения правильного ip на первой машине. на второй все работает идеально. скрипты идентичны за исключением MyIp.

Проверьте, что у вас на обоих серверах есть нужные события:

PowerShell

$TimeInterval = 10 # min
'server1','server2' | % {Get-WinEvent -Comp $_ -EA SilentlyContinue -FilterHashtable @{`
    LogName = “Security”;`
    StartTime = (Get-Date).AddMinutes(-$TimeInterval);`
    ID = 4625}
} | select TimeCreated,
           MachineName,
           Id,
           TaskDisplayName,
           KeywordsDisplayNames,
           @{N='IP';E={(([xml]$_.ToXml()).event.EventData.Data | ? Name -eq 'IpAddress').'#text'}},
           @{N='TargetUserName';E={(([xml]$_.ToXml()).event.EventData.Data | ? Name -eq 'TargetUserName').'#text'}},
           @{N='WorkstationName';E={(([xml]$_.ToXml()).event.EventData.Data | ? Name -eq 'WorkstationName').'#text'}} | ft -a

@modice · 23.11.2017, 09:41 **[ТС]**

все встало на свои места после изменений

PowerShell

1
2

 $ips = Get-WinEvent -FilterHashtable @{LogName = "Security";ID = 4625;StartTime = (Get-Date).AddMinutes(-800)} | foreach {
$_.Properties[19].Value } | Where {$_ -as [IPAddress] } | Sort-Object | Tee-Object -Variable list | Get-Unique

Добавлено через 19 часов 34 минуты
утром проверил. были неудачные аудиты, ip был в списке брандмауэра. но, атаки продолжались в реальном времени. добавил руками интереса ради ip в список заново, не помогло. может ли быть такое, что из-за частого запуска(каждые 10 мин.) и попыток добавления адреса в список, брандмауэр начинает неадекватно себя вести и пропускать адрес из списка? или попался хацкер чуть умнее остальных?

@KDE777 · 23.11.2017, 10:40

Сообщение от modice

ip был в списке брандмауэра. но, атаки продолжались в реальном времени. добавил руками интереса ради ip в список заново, не помогло.

Проверьте настройки правила\брандмауэра. Включите логи брандмауэра и посмотрите что происходит с этим IP. И разве сложно протестировать работу правила самостоятельно? Берёте тестовую машину, добавляете её IP в это правило и пытаетесь подключится к открытому порту, например: telnet server1 3389

@modice · 23.11.2017, 10:59 **[ТС]**

разумеется тестировал, все запросы остаются без ответа. журнал к сожалению был выключен.

@KDE777 · 23.11.2017, 11:27

Сообщение от modice

журнал к сожалению был выключен

Первым делом включайте журнал брандмауэра (их два - заблокировано и разрешено) и смотрите всё что связано с IP, от которого как вы считаете проходят соединения.

@modice 0 / 0 / 0 Регистрация: 21.09.2017 Сообщений: 51
	22.11.2017, 11:02 [ТС]	26
	----------------------------- log searching Start : 11/22/2017 07:58:34 ----------------------------- ----------------------------- Total time taken: 00:00:12.7968750 Done ----------------------------- это из cmd, иными словами он ничего не делает. Start-Transcript ничего не пишет в логи кроме того что указано в самом скрипте. Добавлено через 2 минуты у меня чувство что есть какой то кэш, или что то вроде того. ise же работает..... это не дает покоя 0

@modice 0 / 0 / 0 Регистрация: 21.09.2017 Сообщений: 51
	22.11.2017, 11:45 [ТС]	28
	я увеличивал интервал до нескольких часов чтоб наверняка захватить все что есть Добавлено через 2 минуты могу в реальном времени продемонстрировать, путем скайпа например. Добавлено через 9 минут есть один момент, время четко указано, он сразу выводит события попадающие в этот интервал. но, после как вывел результаты он как будто что то делает еще, может быть продолжает смотреть дальше логи. 0

@modice 0 / 0 / 0 Регистрация: 21.09.2017 Сообщений: 51
	22.11.2017, 12:13 [ТС]	30
	что то не то сказал? Добавлено через 23 минуты повторю что разница в действиях на двух идентичных машинах была в моей ошибке внесения правильного ip на первой машине. на второй все работает идеально. скрипты идентичны за исключением MyIp. 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	23.11.2017, 11:27	35
	Сообщение от modice журнал к сожалению был выключен Первым делом включайте журнал брандмауэра (их два - заблокировано и разрешено) и смотрите всё что связано с IP, от которого как вы считаете проходят соединения. 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	21.11.2017, 18:58	21
	Сообщение от modice 2008 r2 enterprise sp1 Такого под рукой нет, поэтому проверить не могу... На 2012R2 и выше, я бы переписал весь этот скрипт иначе: - IP для блокировки находить в журнале: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational - Правило фаервола менять с помощью стандартного Set-NetFirewallRule 0

@modice 0 / 0 / 0 Регистрация: 21.09.2017 Сообщений: 51
	21.11.2017, 19:01 [ТС]	22
	на 2012R2 этот код работать не будет? 0

@modice 0 / 0 / 0 Регистрация: 21.09.2017 Сообщений: 51
	22.11.2017, 10:14 [ТС]	24
	в чем может быть затык со скриптом, почему в PowerShell ISE все работает а через PowerShell нет(((((((( скрипт точно рабочий, что ему еще надо? Добавлено через 10 минут или может есть способ как то досконально посмотреть что и как делает скрипт во время выполнения, на чем затыкается? 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	22.11.2017, 10:31	25
	Сообщение от modice или может есть способ как то досконально посмотреть что и как делает скрипт во время выполнения, на чем затыкается? Start-Transcript + для проверки, просто запустите в cmd Код powershell -file "c:\scripts\script01.ps1" 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	22.11.2017, 11:46	29
	... 0

@KDE777 1885 / 1107 / 428 Регистрация: 22.01.2016 Сообщений: 3,050
	23.11.2017, 10:40	33
	Сообщение от modice ip был в списке брандмауэра. но, атаки продолжались в реальном времени. добавил руками интереса ради ip в список заново, не помогло. Проверьте настройки правила\брандмауэра. Включите логи брандмауэра и посмотрите что происходит с этим IP. И разве сложно протестировать работу правила самостоятельно? Берёте тестовую машину, добавляете её IP в это правило и пытаетесь подключится к открытому порту, например: telnet server1 3389 0

@modice 0 / 0 / 0 Регистрация: 21.09.2017 Сообщений: 51
	23.11.2017, 10:59 [ТС]	34
	разумеется тестировал, все запросы остаются без ответа. журнал к сожалению был выключен. 0