WebSVN – php-qbpwcf – Diff – /trunk/usr/lib64/qbpwcf/cmd.php

 				#回傳結果
 				return $result;
 				}#if end
 			}#if end
 		#過濾掉對於含有 ".css" ".js" "favicon.ico" ".jpg" ".png" 關鍵字串的結果.
 		#函式說明:
 		#檢查多個字串中的每個字串是否有多個關鍵字
 				}#foreach end
 			}#foreach end
-		#透過 journalctl -a -e | grep "postfix/smtps/smtpd" | grep " connect from unknown" 來取得 IP
+		#透過 journalctl -a -e -f --unit=postfix.service | grep "SASL LOGIN authentication failed" 來取得認證失敗的 ip
 		#函式說明:
 		#呼叫shell執行系統命令,並取得回傳的內容.
 		#回傳的結果:
 		#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
 		#$result["error"],錯誤訊息陣列.
 		$conf["external::callShell"]["command"]="journalctl";
 		#$conf["fileArgu"],字串,變數__FILE__的內容.
 		$conf["external::callShell"]["fileArgu"]=$conf["fileArgu"];
 		#可省略參數:
 		#$conf["argu"],陣列字串,指令搭配的參數,預設為空陣列.
-		$conf["external::callShell"]["argu"]=array("-a","-e","|","grep","postfix/smtps/smtpd","|","grep"," connect from unknown");
+		$conf["external::callShell"]["argu"]=array("-a","-e","--unit=postfix.service","|","grep","SASL LOGIN authentication failed");
 		#$conf["arguIsAddr"],陣列字串,指令搭配的哪些參數為路徑,為路徑的參數會進行轉換以便符合呼叫當前函式的位置,預設不指定,若有3個參數,其中第3個參數為路徑,則表示為array("false","false","true").
 		#$conf["arguIsAddr"]=array();
 		#$conf["pre"],陣列,要在本指令前執行的每個指令與參數.
 		#$conf["pre"][$i]["cmd"],字串,要在本指令前執行的第$i+1個指令.
 		#$conf["pre"][$i]["param"],陣列字串,要在本指令前執行的第$i+1個指令的參數.
 		#狀態碼不為1才執行
 		if($callShell["statusCode"]!==1){
 			#截取出的格式
-			#Aug 08 18:05:51 www.qbpwcf.org postfix/smtpd[27933]: connect from unknown[185.234.219.62]
+			#Sep 28 07:54:16 qbpwcf.org postfix/smtpd[2766456]: warning: unknown[158.94.208.72]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=1q2w
+			#Sep 28 07:57:15 qbpwcf.org postfix/smtpd[2768441]: warning: unknown[213.209.157.249]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=sybase
-			#Aug 08 18:14:29 www.qbpwcf.org postfix/smtpd[16133]: connect from unknown[185.234.219.62]
+			#Sep 28 08:01:09 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[213.209.157.165]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=spam
+			#Sep 28 08:01:51 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[103.109.20.174]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=print@qbpwcf.org
-			#Aug 08 18:23:12 www.qbpwcf.org postfix/smtpd[11623]: connect from unknown[185.234.219.62]
+			#Sep 28 08:03:14 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[62.60.130.148]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=admin2
-			#Apr 04 15:11:16 mail.qbpwcf.org postfix/smtps/smtpd[10145]: connect from unknown[212.70.149.72]
+			#Sep 28 08:16:06 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[103.109.20.174]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=user@qbpwcf.org
+			#Sep 28 08:16:44 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=hualing@qbpwcf.org
+			#Sep 28 08:16:53 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=hualing@qbpwcf.org
+			#Sep 28 08:17:06 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=hualing@qbpwcf.org
+			#Sep 28 08:17:16 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]: SASL LOGIN authentication failed: Connection lost to authentication server, sasl_username=hualing@qbpwcf.org
-			#Apr 04 15:58:01 mail.qbpwcf.org postfix/smtps/smtpd[12382]: connect from unknown[212.70.149.72]
+			#Sep 28 08:20:28 qbpwcf.org postfix/smtpd[2784204]: warning: unknown[158.94.208.72]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=1q2w1q2w
-			#Mar 09 13:44:00 qbpwcf.org postfix/smtpd[1058247]: connect from unknown[194.48.251.15]
+			#Sep 28 08:23:09 qbpwcf.org postfix/smtpd[2785986]: warning: unknown[213.209.157.249]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=informix
-			#Mar 09 13:44:01 qbpwcf.org postfix/smtpd[1058247]: disconnect from unknown[194.48.251.15] ehlo=1 auth=0/1 quit=1 commands=2/3
+			#Sep 28 08:23:39 qbpwcf.org postfix/smtpd[2785986]: warning: unknown[62.60.130.148]: SASL LOGIN authentication failed: (reason unavailable), sasl_username=admin3
+			#分割用的關鍵字
+			$keyword=": SASL LOGIN authentication failed: ";
 			#分割字串
 			#函式說明:
 			#將多個固定格式的字串分開，並回傳分開的結果
 			#回傳的參數：
 			#$result["spiltString"][$i]["dataCounts"]，爲第($i+1)個字串分割後總共分成幾段
 			#必填參數：
 			#$conf["stringIn"],字串陣列,要處理的字串陣列.
 			$conf["stringProcess::spiltMutiString"]["stringIn"]=$callShell["output"];
 			#$conf["spiltSymbol"],字串,爲要以哪個符號作爲分割.
-			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=" ";
+			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=$keyword;
 			$spiltMutiString=stringProcess::spiltMutiString($conf["stringProcess::spiltMutiString"]);
 			unset($conf["stringProcess::spiltMutiString"]);
 			#如果分割失敗
 			if($spiltMutiString["status"]==="false"){
 				$result["error"]=$spiltMutiString;
 				#回傳結果
 				return $result;
 				}#if end
 			#初始化記錄每行log的時間點
 			$occurTime=array();
+			#初始化儲存log行資訊的變數
+			$oriLog=array();
 			#根據每筆記錄
 			foreach($spiltMutiString["spiltString"] as $index => $splitStr){
+				#分段1的內容範例
+				#Sep 28 07:54:16 qbpwcf.org postfix/smtpd[2766456]: warning: unknown[158.94.208.72]
+				#Sep 28 07:57:15 qbpwcf.org postfix/smtpd[2768441]: warning: unknown[213.209.157.249]
+				#Sep 28 08:01:09 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[213.209.157.165]
+				#Sep 28 08:01:51 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[103.109.20.174]
+				#Sep 28 08:03:14 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[62.60.130.148]
+				#Sep 28 08:16:06 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[103.109.20.174]
+				#Sep 28 08:16:44 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:16:53 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:17:06 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:17:16 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:20:28 qbpwcf.org postfix/smtpd[2784204]: warning: unknown[158.94.208.72]
+				#Sep 28 08:23:09 qbpwcf.org postfix/smtpd[2785986]: warning: unknown[213.209.157.249]
+				#Sep 28 08:23:39 qbpwcf.org postfix/smtpd[2785986]: warning: unknown[62.60.130.148]
+				#分段2的內容範例
+				#(reason unavailable), sasl_username=1q2w
+				#(reason unavailable), sasl_username=sybase
+				#(reason unavailable), sasl_username=spam
+				#(reason unavailable), sasl_username=print@qbpwcf.org
+				#(reason unavailable), sasl_username=admin2
+				#(reason unavailable), sasl_username=user@qbpwcf.org
+				#(reason unavailable), sasl_username=hualing@qbpwcf.org
+				#(reason unavailable), sasl_username=hualing@qbpwcf.org
+				#(reason unavailable), sasl_username=hualing@qbpwcf.org
+				#Connection lost to authentication server, sasl_username=hualing@qbpwcf.org
+				#(reason unavailable), sasl_username=1q2w1q2w
+				#(reason unavailable), sasl_username=informix
+				#(reason unavailable), sasl_username=admin3
+				#用 " " 分割 分段1,以取得 月日時分秒
+				#函式說明:
+				#將固定格式的字串分開,並回傳分開的結果.
+				#回傳結果:
+				#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+				#$result["error"],錯誤訊息陣列
+				#$result["function"],當前執行的函數名稱.
+				#$result["argu"],使用的參數.
+				#$result["oriStr"],要分割的原始字串內容
+				#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
+				#$result["dataCounts"],爲總共分成幾段
+				#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-				#儲存時間
+				#必填參數:
+				#$conf["stringIn"],字串,要處理的字串.
-				$occurTime[$index]=$spiltMutiString["spiltString"][$index]["dataArray"][0]." ".$spiltMutiString["spiltString"][$index]["dataArray"][1]." ".$spiltMutiString["spiltString"][$index]["dataArray"][2];
+				$conf["stringProcess::spiltString"]["stringIn"]=$spiltMutiString["spiltString"][$index]["dataArray"][0];
+				#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
+				$conf["stringProcess::spiltString"]["spiltSymbol"]=" ";
+				#可省略參數:
+				#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
+				#$conf["allowEmptyStr"]="false";
+				#參考資料:
+				#無.
+				#備註:
+				#無.
+				$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
+				unset($conf["stringProcess::spiltString"]);
-				}#foreach end
+				#如果分割失敗
+				if($spiltString["status"]==="false"){
-			#第一次分割的關鍵字
-			$splitKeyWord=" connect from unknown[";
-			#分割字串
-			#函式說明:
-			#將多個固定格式的字串分開，並回傳分開的結果
-			#回傳的參數：
-			#$result["status"],執行成功與否，若爲"true"，代表執行成功，若爲"false"代表執失敗。
-			#$result["error"],錯誤訊息陣列.
-			#$result["function"],當前執行的函式名稱.
-			#$result["spiltString"][$i]["oriStr"]，爲第i個字串的原始內容
-			#$result["spiltString"][$i]["dataArray"]，爲第($i+1)個字串分割後的字串陣列
-			#$result["spiltString"][$i]["dataArray"][$j]，爲第($i+1)的分割好的字串的第($j+1)段內容
-			#$result["spiltString"][$i]["dataCounts"]，爲第($i+1)個字串分割後總共分成幾段
-			#必填參數：
-			#$conf["stringIn"],字串陣列,要處理的字串陣列.
-			$conf["stringProcess::spiltMutiString"]["stringIn"]=$callShell["output"];
-			#$conf["spiltSymbol"],字串,爲要以哪個符號作爲分割.
-			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=$splitKeyWord;
-			$spiltMutiString=stringProcess::spiltMutiString($conf["stringProcess::spiltMutiString"]);
-			unset($conf["stringProcess::spiltMutiString"]);
-			#如果分割失敗
-			if($spiltMutiString["status"]==="false"){
-				#設置執行失敗
+					#設置執行失敗
-				$result["status"]="false";
+					$result["status"]="false";
-				#設置錯誤訊息
+					#設置錯誤訊息
-				$result["error"]=$spiltMutiString;
+					$result["error"]=$spiltString;
-				#回傳結果
+					#回傳結果
-				return $result;
+					return $result;
+					}#if end
+				#如果分割失敗
+				if($spiltString["dataCounts"]<3){
-				}#if end
+					#設置執行失敗
+					$result["status"]="false";
-			#儲存尚未處理好的字串
+					#設置錯誤訊息
-			$unProcessedStr=array();
+					$result["error"]=$spiltString;
-			#初始化儲存log行資訊的變數
+					#回傳結果
-			$oriLog=array();
+					return $result;
-			#根據每筆記錄
+					}#if end
-			foreach($spiltMutiString["spiltString"] as $index => $splitStr){
-				#儲存原始的log行內容
+				#儲存時間
-				$oriLog[$index]=$spiltMutiString["spiltString"][$index ]["oriStr"];
+				$occurTime[$index]=$spiltString["dataArray"][0]." ".$spiltString["dataArray"][1]." ".$spiltString["dataArray"][2];
-				#取得所需的字串
-				$unProcessedStr[]=$splitStr["dataArray"][1];
+				#含有IP的內容範例
+				#Sep 28 07:54:16 qbpwcf.org postfix/smtpd[2766456]: warning: unknown[158.94.208.72]
+				#Sep 28 07:57:15 qbpwcf.org postfix/smtpd[2768441]: warning: unknown[213.209.157.249]
+				#Sep 28 08:01:09 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[213.209.157.165]
+				#Sep 28 08:01:51 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[103.109.20.174]
+				#Sep 28 08:03:14 qbpwcf.org postfix/smtpd[2771112]: warning: unknown[62.60.130.148]
+				#Sep 28 08:16:06 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[103.109.20.174]
+				#Sep 28 08:16:44 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:16:53 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:17:06 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:17:16 qbpwcf.org postfix/smtpd[2781279]: warning: unknown[178.16.53.142]
+				#Sep 28 08:20:28 qbpwcf.org postfix/smtpd[2784204]: warning: unknown[158.94.208.72]
+				#Sep 28 08:23:09 qbpwcf.org postfix/smtpd[2785986]: warning: unknown[213.209.157.249]
+				#Sep 28 08:23:39 qbpwcf.org postfix/smtpd[2785986]: warning: unknown[62.60.130.148]
+				#"${doNotNeed} postfix/smtpd[${pid}]${doNotNeed}[${ip}]"
+				#取得 ip
+				#函式說明：
+				#尋找字串中是否含有符合格式的內容,且回傳解析好的變數數值.
+				#回傳結果:
+				#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+				#$reuslt["error"],執行不正常結束的錯訊息陣列.
+				#$result["function"],當前執行的函式名稱.
+				#$result["argu"],所使用的參數.
+				#$result["found"],是否有找到符合格式的字串內容,"true"代表有找到,"false"代表沒有找到.
+				#$result["content"],陣列,若為n個${*},則當found為"true"時,就會回傳n個元素.
+				#$result["parsedVar"][varName],陣列,解析好的變數陣列,varName為${}中的內容.
+				#必填參數:
+				#$conf["input"],字串,要檢查的字串.
+				$conf["search::findSpecifyStrFormat"]["input"]=$spiltMutiString["spiltString"][$index]["dataArray"][1];
+				#$conf["format"],格式字串,要尋找的格式字串.格式為固定的字串("fixedStr format")與變數("${keyWordVarName}")組成.
+				$conf["search::findSpecifyStrFormat"]["format"]="\${doNotNeed} postfix/smtpd[\${pid}]\${doNotNeed}[\${ip}]";
+				#可省略參數:
+				#$conf["varEqual"],陣列,變數對應的數值,null代表不指定,其他內容代表該變數解析出來必須要為該內容.
+				#$conf["search::findSpecifyStrFormat"]["varEqual"]=array(null,"found");
-				}#foreach end
+				#$conf["varCon"],陣列,每個varEqual為null者,其是否有其他條件,預設為null代表無其他條件,條件的表示是用陣列的key與value來表達,例如:array("no_tail"=>" not"),就代表變數的結尾不能為" not",可以用的key有"head",代表開頭要有什麼;"no_head",代表不能為什麼開頭;"tail",代表要什麼結尾;"no_tail",代表不能什麼結尾.
+				#$conf["varCon"]=array("no_tail"=>" not");
+				#參考資料:
+				#無.
+				#備註:
+				#無.
+				$findSpecifyStrFormat=search::findSpecifyStrFormat($conf["search::findSpecifyStrFormat"]);
+				unset($conf["search::findSpecifyStrFormat"]);
+				#如果分割失敗
+				if($findSpecifyStrFormat["status"]==="false"){
-			#第二次分割的關鍵字
-			$splitKeyWord="]";
-			#分割字串
-			#函式說明:
-			#將多個固定格式的字串分開，並回傳分開的結果
-			#回傳的參數：
-			#$result["status"],執行成功與否，若爲"true"，代表執行成功，若爲"false"代表執失敗。
-			#$result["error"],錯誤訊息陣列.
-			#$result["function"],當前執行的函式名稱.
-			#$result["spiltString"][$i]["oriStr"]，爲第i個字串的原始內容
-			#$result["spiltString"][$i]["dataArray"]，爲第($i+1)個字串分割後的字串陣列
-			#$result["spiltString"][$i]["dataArray"][$j]，爲第($i+1)的分割好的字串的第($j+1)段內容
-			#$result["spiltString"][$i]["dataCounts"]，爲第($i+1)個字串分割後總共分成幾段
-			#必填參數：
-			#$conf["stringIn"],字串陣列,要處理的字串陣列.
-			$conf["stringProcess::spiltMutiString"]["stringIn"]=$unProcessedStr;
-			#$conf["spiltSymbol"],字串,爲要以哪個符號作爲分割.
-			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=$splitKeyWord;
-			$spiltMutiString=stringProcess::spiltMutiString($conf["stringProcess::spiltMutiString"]);
-			unset($conf["stringProcess::spiltMutiString"]);
-			#如果分割失敗
-			if($spiltMutiString["status"]==="false"){
-				#設置執行失敗
+					#設置執行失敗
-				$result["status"]="false";
+					$result["status"]="false";
-				#設置錯誤訊息
+					#設置錯誤訊息
-				$result["error"]=$spiltMutiString;
+					$result["error"]=$findSpecifyStrFormat;
-				#回傳結果
+					#回傳結果
-				return $result;
+					return $result;
+					}#if end
+				#如果沒有符合格式
+				if($findSpecifyStrFormat["found"]==="false"){
+					#剔除時間點 記錄
+					array_pop($occurTime);
+					#跳過該行
+					continue;
-				}#if end
+					}#if end
-			#根據每筆記錄
+				#取得解析好的ip
+				$ip=$findSpecifyStrFormat["parsedVar"]["ip"];
+				#儲存原始的log行內容
-			foreach($spiltMutiString["spiltString"] as $index => $splitStr){
+				$oriLog[$index]=$spiltMutiString["spiltString"][$index ]["oriStr"];
-				#有問題的資訊
+				#初始化儲存有問題的資訊
 				$info=array();
 				#設置問題對應的log行內容
 				$info["log"]=$oriLog[$index];
 				#設置問題時間點
 				$info["time"]=$occurTime[$index];
 				#記錄有問題的ip
-				$info["ip"]=$splitStr["dataArray"][0];
+				$info["ip"]=$ip;
 				#取得所需的有問題的IP
 				$ips_smtp[]=$info;
 				}#foreach end
 			}#if end
-		#透過 journalctl -e | grep named | grep " client " 來取得 IP
+		#透過 journalctl -a -e -f --unit=named.service | grep ' query ' 來取得 IP
 		#函式說明:
 		#呼叫shell執行系統命令,並取得回傳的內容.
 		#回傳的結果:
 		#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
 		#$result["error"],錯誤訊息陣列.
 		#$result["statusCode"],執行結束後的代碼.
 		#必填參數:
 		#$conf["command"],字串,要執行的指令與.
 		$conf["external::callShell"]["command"]="journalctl";
 		#$conf["fileArgu"],字串,變數__FILE__的內容.
 		$conf["external::callShell"]["fileArgu"]=$conf["fileArgu"];
 		#可省略參數:
 		#$conf["argu"],陣列字串,指令搭配的參數,預設為空陣列.
-		$conf["external::callShell"]["argu"]=array("-a","-e","|","grep"," named","|","grep"," client ");
+		$conf["external::callShell"]["argu"]=array("-a","-e","--unit=named.service","|","grep"," query ");
 		#$conf["arguIsAddr"],陣列字串,指令搭配的哪些參數為路徑,為路徑的參數會進行轉換以便符合呼叫當前函式的位置,預設不指定,若有3個參數,其中第3個參數為路徑,則表示為array("false","false","true").
 		#$conf["arguIsAddr"]=array();
 		#$conf["pre"],陣列,要在本指令前執行的每個指令與參數.
 		#$conf["pre"][$i]["cmd"],字串,要在本指令前執行的第$i+1個指令.
 		#$conf["pre"][$i]["param"],陣列字串,要在本指令前執行的第$i+1個指令的參數.
 			return $result;
 			}#if end
 		#記錄攻擊者的IP
 		$attacker_ips_namd=array();
+		#狀態碼不為1才執行
+		if($callShell["statusCode"]!==1){
-		#狀態碼不為1才執行
-		if($callShell["statusCode"]!==1){
 			#截取出的格式
 			#Nov 24 20:55:15 localhost.localdomain named[99512]: client @0x7f7714041d10 191.7.219.100#6238 (PEACECORPS.GOV): query (cache) 'PEACECORPS.GOV/ANY/IN' denied
 			#Nov 24 20:55:15 localhost.localdomain named[99512]: client @0x7f77180297c0 191.7.219.100#6238 (PEACECORPS.GOV): query (cache) 'PEACECORPS.GOV/ANY/IN' denied
 			#Nov 24 20:55:15 localhost.localdomain named[99512]: client @0x7f7714041d10 191.7.219.100#6238 (PEACECORPS.GOV): query (cache) 'PEACECORPS.GOV/ANY/IN' denied
 			#Nov 24 20:55:15 localhost.localdomain named[99512]: client @0x7f77180297c0 191.7.219.100#6238 (PEACECORPS.GOV): query (cache) 'PEACECORPS.GOV/ANY/IN' denied
 			#Dec 14 18:51:45 localhost.localdomain named[1159]: client @0x7f3dc801bc80 61.220.11.198#44377 (aesopower-cms-sock-latest.qbpwcf.org): query 'aesopower-cms-sock-latest.qbpwcf.org/A/IN' denied
 			#Dec 14 18:51:45 localhost.localdomain named[1159]: client @0x7f3dc8003700 61.220.11.198#4481 (dns.qbpwcf.org): query 'dns.qbpwcf.org/AAAA/IN' denied
 			#Dec 14 18:51:45 localhost.localdomain named[1159]: client @0x7f3dc8003700 61.220.11.198#53061 (aesopower-cms-sock-latest.qbpwcf.org): query 'aesopower-cms-sock-latest.qbpwcf.org/A/IN' denied
 			#Dec 14 18:51:45 localhost.localdomain named[1159]: client @0x7f3dc8003700 61.220.11.198#31654 (dns.qbpwcf.org): query 'dns.qbpwcf.org/AAAA/IN' denied
 			#Dec 14 18:51:45 localhost.localdomain named[1159]: client @0x7f3dc802a410 61.220.11.198#57701 (aesopower-cms-sock-latest.qbpwcf.org): query 'aesopower-cms-sock-latest.qbpwcf.org/A/IN' denied
+			#Sep 29 03:37:20 dns.qbpwcf.org named[94]: client @0x7f60e00734e8 61.166.210.84#49954 (twitter.com): query failed (REFUSED) for twitter.com/IN/AAAA at ../../../lib/ns/query.c:5691
+			#Sep 29 03:37:20 dns.qbpwcf.org named[94]: client @0x7f60e006f428 61.166.210.84#49954 (twitter.com): query failed (REFUSED) for twitter.com/IN/A at ../../../lib/ns/query.c:5691
+			#Sep 29 03:37:21 dns.qbpwcf.org named[94]: client @0x7f60e80889a8 61.166.210.84#50057 (astrill4u.com): query failed (REFUSED) for astrill4u.com/IN/AAAA at ../../../lib/ns/query.c:5691
+			#Sep 29 03:37:21 dns.qbpwcf.org named[94]: client @0x7f60e805ed08 61.166.210.84#50057 (astrill4u.com): query failed (REFUSED) for astrill4u.com/IN/A at ../../../lib/ns/query.c:5691
+			#Sep 29 03:46:33 dns.qbpwcf.org named[94]: client @0x7f60d402b618 165.22.223.147#16200 (tool.lu): query failed (REFUSED) for tool.lu/IN/A at ../../../lib/ns/query.c:5691
+			#Sep 29 03:49:16 dns.qbpwcf.org named[94]: client @0x7f60e0060a28 76.20.229.207#80 (sl): query failed (REFUSED) for sl/IN/ANY at ../../../lib/ns/query.c:5691
+			#Sep 29 04:19:10 dns.qbpwcf.org named[94]: client @0x7f60e0060a28 76.20.229.207#80 (sl): query failed (REFUSED) for sl/IN/ANY at ../../../lib/ns/query.c:5691
+			#Sep 29 04:20:28 dns.qbpwcf.org named[94]: client @0x7f60e0060a28 76.20.229.207#80 (sl): query failed (REFUSED) for sl/IN/ANY at ../../../lib/ns/query.c:5691
+			#Sep 29 04:24:20 dns.qbpwcf.org named[94]: client @0x7f60e0060a28 76.20.229.207#80 (sl): query failed (REFUSED) for sl/IN/ANY at ../../../lib/ns/query.c:5691
+			#Sep 29 04:24:59 dns.qbpwcf.org named[94]: client @0x7f60e0060a28 76.20.229.207#80 (sl): query failed (REFUSED) for sl/IN/ANY at ../../../lib/ns/query.c:5691
+			#Sep 29 04:40:48 dns.qbpwcf.org named[94]: client @0x7f60f9377888 174.96.56.126#80 (sl): query failed (REFUSED) for sl/IN/ANY at ../../../lib/ns/query.c:5691
+			#${month} ${day} ${hour}:${min}:${sec} ${doNotNeed} client ${doNotNeed} ${ip}#${remoteRevPort} (${$queryTarget}): ${doNotNeed}
-			#第一次分割的關鍵字
-			$splitKeyWord="#";
-			#分割字串
 			#函式說明:
-			#將多個固定格式的字串分開，並回傳分開的結果
+			#檢查多個字串中的每個字串是否有多個關鍵字
-			#回傳的參數：
+			#回傳結果:
-			#$result["status"],執行成功與否，若爲"true"，代表執行成功，若爲"false"代表執失敗。
+			#$result["status"],整體來說，執行是否成功，"true"代表執行成功，"false"代表執行失敗。
+			#$result["function"],當前執行的函數名稱.
-			#$result["error"],錯誤訊息陣列.
+			#$result["error"],錯誤訊息.
-			#$result["function"],當前執行的函式名稱.
+			#$result["argu"],使用的參數.
-			#$result["spiltString"][$i]["oriStr"]，爲第i個字串的原始內容
+			#$result["foundedTrueKey"],結果為"true"的被搜尋元素key陣列,與其數值內容.
-			#$result["spiltString"][$i]["dataArray"]，爲第($i+1)個字串分割後的字串陣列
+			#$result["foundedKeyWords"],找到的關鍵字陣列.
-			#$result["spiltString"][$i]["dataArray"][$j]，爲第($i+1)的分割好的字串的第($j+1)段內容
+			#$result["foundedFalseKey"],結果為"false"的被搜尋元素key陣列,與其數值內容.
-			#$result["spiltString"][$i]["dataCounts"]，爲第($i+1)個字串分割後總共分成幾段
+			#$result["foundedTrueKeyWords"],二維陣列,各個字串有找到的關鍵字陣列.
+			#$result["foundedAll"],是否每個關鍵字都有找到,"true"代表每個都有找到,"false"代表沒有每個都找到.
+			#$result["keyWordsIncludeStr"],陣列,儲存有找到關鍵字的來源的索引(sourceIndex)與其內容(sourceVal)跟找到的關鍵字項目陣列(KeyWords).
-			#必填參數：
+			#必填參數:
-			#$conf["stringIn"],字串陣列,要處理的字串陣列.
+			#$conf["keyWords"],字串陣列,想要搜尋的關鍵字.
-			$conf["stringProcess::spiltMutiString"]["stringIn"]=$callShell["output"];
+			$conf["search::findManyKeyWordsFromManyString"]["keyWords"]=array("(REFUSED)"," denied");
-			#$conf["spiltSymbol"],字串,爲要以哪個符號作爲分割.
+			#$conf["stringArray"],字串陣列,要被搜尋的字串內容陣列.
-			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=$splitKeyWord;
+			$conf["search::findManyKeyWordsFromManyString"]["stringArray"]=$callShell["output"];
+			#可省略參數:
+			#$conf["completeEqual"],字串,是否內容要完全符合，不能多出任何不符合的內容，預設為"false"不需要完全符合.
+			#$conf["completeEqual"]="true";
+			#參考資料:
+			#無.
+			#備註:
+			#無.
-			$spiltMutiString=stringProcess::spiltMutiString($conf["stringProcess::spiltMutiString"]);
+			$findManyKeyWordsFromManyString=search::findManyKeyWordsFromManyString($conf["search::findManyKeyWordsFromManyString"]);
-			unset($conf["stringProcess::spiltMutiString"]);
+			unset($conf["search::findManyKeyWordsFromManyString"]);
-			#如果分割失敗
+			#如果執行失敗
-			if($spiltMutiString["status"]==="false"){
+			if($findManyKeyWordsFromManyString["status"]==="false"){
 				#設置執行失敗
 				$result["status"]="false";
 				#設置錯誤訊息
-				$result["error"]=$spiltMutiString;
+				$result["error"]=$findManyKeyWordsFromManyString;
 				#回傳結果
 				return $result;
 				}#if end
-			#儲存未處理的dns查詢字串
-			$quertString=array();
-			#儲存尚未處理好的字串
-			$unProcessedStr=array();
 			#初始化儲存原始log行內容
-			$oriLog=array();
+			#$oriLog=array();
-			#根據每筆記錄
-			foreach($spiltMutiString["spiltString"] as $index => $splitStr){
-				#如果切割出來小於兩段
+			#儲存疑似有問題的IP
-				if($splitStr["dataCounts"]<2){
-					#換下一筆資料
+			$ips_named=array();
-					continue;
-					}#if end
-				#取得原始log行內容
+			#初始化儲存確定有問題的ip
-				$oriLog[]=$splitStr["oriStr"];
+			$attacker_ips_namd=array();
-				#取得所需的字串
+			#針對每個符合的行
-				$unProcessedStr[]=$splitStr["dataArray"][0];
+			foreach($findManyKeyWordsFromManyString["foundedTrueKey"] as $oriLog){
-				#儲存查詢的dns字串
-				$quertString[]=$splitStr["dataArray"][1];
-				}#foreach end
-			#第二次分割的關鍵字
-			$splitKeyWord=" ";
-			#分割字串
-			#函式說明:
-			#將多個固定格式的字串分開，並回傳分開的結果
-			#回傳的參數：
-			#$result["status"],執行成功與否，若爲"true"，代表執行成功，若爲"false"代表執失敗。
-			#$result["error"],錯誤訊息陣列.
+				#初始化儲存資訊的暫存陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["spiltString"][$i]["oriStr"]，爲第i個字串的原始內容
-			#$result["spiltString"][$i]["dataArray"]，爲第($i+1)個字串分割後的字串陣列
-			#$result["spiltString"][$i]["dataArray"][$j]，爲第($i+1)的分割好的字串的第($j+1)段內容
-			#$result["spiltString"][$i]["dataCounts"]，爲第($i+1)個字串分割後總共分成幾段
-			#必填參數：
+				$info=array();
-			#$conf["stringIn"],字串陣列,要處理的字串陣列.
-			$conf["stringProcess::spiltMutiString"]["stringIn"]=$unProcessedStr;
-			#$conf["spiltSymbol"],字串,爲要以哪個符號作爲分割.
-			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=$splitKeyWord;
-			$spiltMutiString=stringProcess::spiltMutiString($conf["stringProcess::spiltMutiString"]);
-			unset($conf["stringProcess::spiltMutiString"]);
-			#如果分割失敗
-			if($spiltMutiString["status"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
+				#解析時間與來源ip
+				#函式說明：
+				#尋找字串中是否含有符合格式的內容,且回傳解析好的變數數值.
+				#回傳結果:
+				#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+				#$reuslt["error"],執行不正常結束的錯訊息陣列.
+				#$result["function"],當前執行的函式名稱.
+				#$result["argu"],所使用的參數.
+				#$result["found"],是否有找到符合格式的字串內容,"true"代表有找到,"false"代表沒有找到.
+				#$result["content"],陣列,若為n個${*},則當found為"true"時,就會回傳n個元素.
+				#$result["parsedVar"][varName],陣列,解析好的變數陣列,varName為${}中的內容.
+				#必填參數:
+				#$conf["input"],字串,要檢查的字串.
+				$conf["search::findSpecifyStrFormat"]["input"]=$oriLog;
+				#$conf["format"],格式字串,要尋找的格式字串.格式為固定的字串("fixedStr format")與變數("${keyWordVarName}")組成.
+				$conf["search::findSpecifyStrFormat"]["format"]="\${month} \${day} \${hour}:\${min}:\${sec} \${doNotNeed} client \${doNotNeed} \${ip}#\${remoteRevPort} (\${queryTarget}): \${doNotNeed}";
+				#可省略參數:
+				#$conf["varEqual"],陣列,變數對應的數值,null代表不指定,其他內容代表該變數解析出來必須要為該內容.
+				#$conf["search::findSpecifyStrFormat"]["varEqual"]=array(null,"found");
-				#設置錯誤訊息
+				#$conf["varCon"],陣列,每個varEqual為null者,其是否有其他條件,預設為null代表無其他條件,條件的表示是用陣列的key與value來表達,例如:array("no_tail"=>" not"),就代表變數的結尾不能為" not",可以用的key有"head",代表開頭要有什麼;"no_head",代表不能為什麼開頭;"tail",代表要什麼結尾;"no_tail",代表不能什麼結尾.
+				#$conf["varCon"]=array("no_tail"=>" not");
+				#參考資料:
+				#無.
+				#備註:
+				#無.
+				$findSpecifyStrFormat=search::findSpecifyStrFormat($conf["search::findSpecifyStrFormat"]);
+				unset($conf["search::findSpecifyStrFormat"]);
+				#如果分割失敗
+				if($findSpecifyStrFormat["status"]==="false"){
+					#設置執行失敗
-				$result["error"]=$spiltMutiString;
+					$result["status"]="false";
+					#設置錯誤訊息
+					$result["error"]=$findSpecifyStrFormat;
-				#回傳結果
+					#回傳結果
-				return $result;
+					return $result;
+					}#if end
+				#如果沒有符合格式
+				if($findSpecifyStrFormat["found"]==="false"){
+					#跳過該行
-				}#if end
+					continue;
-			#儲存有問題的IP
+					}#if end
-			$ips_named=array();
+				#儲存時間點
+				$info["time"]=$findSpecifyStrFormat["parsedVar"]["month"][0]." ".$findSpecifyStrFormat["parsedVar"]["day"][0]." ".$findSpecifyStrFormat["parsedVar"]["hour"][0].":".$findSpecifyStrFormat["parsedVar"]["min"][0];
-			#根據每筆記錄
+				#儲存ip
-			foreach($spiltMutiString["spiltString"] as $index => $splitStr){
+				$info["ip"]=$findSpecifyStrFormat["parsedVar"]["ip"][0];
-				#取得所需的可能有問題的IP
+				#儲存查詢的目標
-				$ips_named[]=array("ip"=>$splitStr["dataArray"][$splitStr["dataCounts"]-1],"time"=>$splitStr["dataArray"][2],"log"=>$oriLog[$index]);
+				$info["queryTarget"]=$findSpecifyStrFormat["parsedVar"]["queryTarget"][0];
+				#儲存疑似有問題的ip
-				}#foreach end
+				$ips_named[$info["ip"]][]=$info;
-			#第三次分割的關鍵字
-			$splitKeyWord=" ";
+				}#foreach end
-			#分割字串
-			#函式說明:
-			#將多個固定格式的字串分開，並回傳分開的結果
-			#回傳的參數：
-			#$result["status"],執行成功與否，若爲"true"，代表執行成功，若爲"false"代表執失敗。
-			#$result["error"],錯誤訊息陣列.
-			#$result["function"],當前執行的函式名稱.
+			#暫存可能有問題的ip資訊
-			#$result["spiltString"][$i]["oriStr"]，爲第i個字串的原始內容
-			#$result["spiltString"][$i]["dataArray"]，爲第($i+1)個字串分割後的字串陣列
-			#$result["spiltString"][$i]["dataArray"][$j]，爲第($i+1)的分割好的字串的第($j+1)段內容
-			#$result["spiltString"][$i]["dataCounts"]，爲第($i+1)個字串分割後總共分成幾段
-			#必填參數：
+			$risky_ips=array();
-			#$conf["stringIn"],字串陣列,要處理的字串陣列.
-			$conf["stringProcess::spiltMutiString"]["stringIn"]=$quertString;
-			#$conf["spiltSymbol"],字串,爲要以哪個符號作爲分割.
-			$conf["stringProcess::spiltMutiString"]["spiltSymbol"]=$splitKeyWord;
-			$spiltMutiString=stringProcess::spiltMutiString($conf["stringProcess::spiltMutiString"]);
-			unset($conf["stringProcess::spiltMutiString"]);
-			#如果分割失敗
+			#針對每個ip
-			if($spiltMutiString["status"]==="false"){
+			foreach($ips_named as $ip => $info){
-				#設置執行失敗
+				#如果同樣ip不到3次
-				$result["status"]="false";
+				if(count($ips_named[$ip])<3){
-				#設置錯誤訊息
-				$result["error"]=$spiltMutiString;
-				#回傳結果
-				return $result;
+					#換看下個ip
-				}#if end
+					continue;
-			#根據每筆記錄
+					}#if end
-			foreach($spiltMutiString["spiltString"] as $index=>$splitStr){
-				#取得所需的可能有問題IP所查詢的dns
+				#儲存可能有問題的ip資訊
-				$ips_named[$index]["dns"]=$splitStr["dataArray"][$splitStr["dataCounts"]-2];
+				$risky_ips[]=$ips_named[$ip];
 				}#foreach end
-			#初始化記錄時間點
-			$time=0;
-			#初始化記錄當前ip
-			$ip="";
-			#初始化記錄當前查詢的dns
-			$dns="";
-			#初始化記錄同時間,ip重複的次數.
+			#針對每個可能有問題ip的每個log行
-			$count=0;
-			#針對每筆資料
-			for($i=0;$i<count($ips_named);$i++){
+			foreach($ips_named as $ip => $infos){
-				#如果時間點不同
+				#初始化記錄ip來訪不大於1分鐘的計數
-				if($ips_named[$i]["time"]!==$time){
+				$count=0;
-					#初始化記錄時間點
+				#針對每個log行資訊
-					$time=$ips_named[$i]["time"];
+				foreach($infos as $index => $info){
-					#初始化記錄當前ip
-					$ip=$ips_named[$i]["ip"];
-					#初始化記錄當前的dns
-					$dns=$ips_named[$i]["dns"];
-					#初始化記錄同時間,ip重複的次數.
-					$count=1;
-					}#if end
+					#unixtime
-				#反之時間點相同且,但ip不同
-				else if($ips_named[$i]["ip"]!==$ip){
+					$time=strtotime($info["time"]);
-					#初始化記錄時間點
+					#如果沒有下筆記錄
-					$time=$ips_named[$i]["time"];
+					if(!isset($risky_ips[$index+1])){
-					#初始化記錄當前ip
-					$ip=$ips_named[$i]["ip"];
-					#初始化記錄當前的dns
-					$dns=$ips_named[$i]["dns"];
+						#結束 foreach
+						break;
-					#初始化記錄同時間,ip重複的次數.
-					$count=1;
-					}#if end
+						}#if end
-				#反之時間點相同，但dns不同
+					#取得unixtime
-				else if($ips_named[$i]["dns"]!==$dns){
+					$next_time=strtotime($risky_ips[$index+1]["time"]);
-					#初始化記錄時間點
+					#如果時間間隔大於60秒
-					$time=$ips_named[$i]["time"];
-					#初始化記錄當前ip
-					$ip=$ips_named[$i]["ip"];
+					if($next_time-$time>60){
-					#初始化記錄當前的dns
+						#跳過,看下筆記錄
-					$dns=$ips_named[$i]["dns"];
+						continue;
-					#初始化記錄同時間,ip重複的次數.
-					$count=1;
-					}#if end
+						}#if end
-				#反之時間點與IP與dns皆相同
-				else{
 					#計數+1
 					$count++;
+					}#foreach end
-					#如果計數5次
+				#如果有達到3次
-					if($count===5){
+				if($count>=3){
-						#若該IP是已經重複
-						if(in_array($ips_named[$i]["ip"],$attacker_ips_namd)){
-							#跳過
-							continue;
-							}#if end
-						#反之是新IP
-						else{
-							#記錄起來
-							$attacker_ips_namd[]=$ips_named[$i];
-							}#else end
-						}#if end
+					#記錄攻擊者的IP
-					}#else end
+					$attacker_ips_namd[]=$ip;
+					}#if end
-				}#for end
+				}#foreach end
 			}#if end
-		#透過 journalctl -a -e | grep dovecot | grep failed 來取得 IP
+		#透過 journalctl -a -e --unit=dovecot.service 來取得 IP
 		#函式說明:
 		#呼叫shell執行系統命令,並取得回傳的內容.
 		#回傳的結果:
 		#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
 		#$result["error"],錯誤訊息陣列.
 		#$result["statusCode"],執行結束後的代碼.
 		#必填參數:
 		#$conf["command"],字串,要執行的指令與.
 		$conf["external::callShell"]["command"]="journalctl";
 		#$conf["fileArgu"],字串,變數__FILE__的內容.
 		$conf["external::callShell"]["fileArgu"]=$conf["fileArgu"];
 		#可省略參數:
 		#$conf["argu"],陣列字串,指令搭配的參數,預設為空陣列.
-		$conf["external::callShell"]["argu"]=array("-a","-e","|","grep","dovecot","|","grep","failed");
+		$conf["external::callShell"]["argu"]=array("-a","-e","--unit=dovecot.service");
 		#$conf["arguIsAddr"],陣列字串,指令搭配的哪些參數為路徑,為路徑的參數會進行轉換以便符合呼叫當前函式的位置,預設不指定,若有3個參數,其中第3個參數為路徑,則表示為array("false","false","true").
 		#$conf["arguIsAddr"]=array();
 		#$conf["pre"],陣列,要在本指令前執行的每個指令與參數.
 		#$conf["pre"][$i]["cmd"],字串,要在本指令前執行的第$i+1個指令.
 		#$conf["pre"][$i]["param"],陣列字串,要在本指令前執行的第$i+1個指令的參數.
 		#escapeshellarg=>http://php.net/manual/en/function.escapeshellarg.php
 		$callShell=external::callShell($conf["external::callShell"]);
 		unset($conf["external::callShell"]);
 		#如果執行失敗
-		if($callShell["status"]==="false" && ( $callShell["statusCode"]!==0 && $callShell["statusCode"]!==1 ) ){
+		if($callShell["status"]==="false"){
 			#設置執行失敗
 			$result["status"]="false";
 			#設置錯誤訊息
 		Feb 23 07:59:29 localhost.localdomain dovecot[1427]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=101.136.215.61, lip=169.254.1.1, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<TMaql/W7zhpliNc9>
 		Feb 23 07:59:29 localhost.localdomain dovecot[1427]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=101.136.215.61, lip=169.254.1.1, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<KnKtl/W7GBtliNc9>
 		Feb 23 07:59:29 localhost.localdomain dovecot[1427]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=101.136.215.61, lip=169.254.1.1, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<Lkixl/W7ixtliNc9>
 		Feb 23 07:59:30 localhost.localdomain dovecot[1427]: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=101.136.215.61, lip=169.254.1.1, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<8bWzl/W7ARhliNc9>
 		Feb 23 07:59:30 localhost.localdomain dovecot[1427]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=101.136.215.61, lip=169.254.1.1, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<70q2l/W7PBhliNc9>
+		Sep 29 06:53:42 qbpwcf.org dovecot[98]: imap-login: Disconnected: Connection closed (no auth attempts in 0 secs): user=<>, rip=3.231.151.171, lip=169.254.2.1, TLS, session=<MaKQGOs/wIMD55er>
+		Sep 29 07:42:58 qbpwcf.org auth[3737748]: pam_unix(dovecot:auth): check pass; user unknown
+		Sep 29 07:42:58 qbpwcf.org auth[3737748]: pam_unix(dovecot:auth): authentication failure; logname=liveuser uid=0 euid=0 tty=dovecot ruser=account@qbpwcf.org rhost=62.60.131.29
+		Sep 29 08:10:02 qbpwcf.org dovecot[98]: imap(liveuser)<3755807><SvyIKew/xLpyIuFn>: Disconnected: Connection closed (UID SEARCH finished 0.039 secs ago) in=119 out=1504 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0
+		Sep 29 08:12:02 qbpwcf.org dovecot[98]: imap-login: Login: user=<liveuser>, method=PLAIN, rip=149.102.158.38, lip=169.254.2.1, mpid=3757116, TLS, session=<B2O9MOw/TrmVZp4m>
+		Sep 29 08:12:04 qbpwcf.org dovecot[98]: imap(liveuser)<3757116><B2O9MOw/TrmVZp4m>: Disconnected: Logged out in=240 out=21891 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0
+		Sep 29 08:12:06 qbpwcf.org dovecot[98]: imap-login: Login: user=<liveuser>, method=PLAIN, rip=149.102.158.38, lip=169.254.2.1, mpid=3757144, TLS, session=<S0rwMOw/XLmVZp4m>
+		Sep 29 08:12:09 qbpwcf.org dovecot[98]: imap(liveuser)<3757144><S0rwMOw/XLmVZp4m>: Disconnected: Logged out in=885 out=25454 deleted=0 expunged=0 trashed=0 hdr_count=2 hdr_bytes=21658 body_count=0 body_bytes=0
+		Sep 29 08:28:48 qbpwcf.org dovecot[98]: imap-login: Login: user=<liveuser>, method=PLAIN, rip=114.34.225.103, lip=169.254.2.1, mpid=3768144, TLS, session=<Gk6ybOw/nNpyIuFn>
+		Sep 29 08:28:51 qbpwcf.org dovecot[98]: imap(liveuser)<3768144><Gk6ybOw/nNpyIuFn>: Disconnected: Connection closed (LIST finished 1.939 secs ago) in=50 out=17609 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0
+		Sep 29 08:28:51 qbpwcf.org dovecot[98]: imap-login: Login: user=<liveuser>, method=PLAIN, rip=114.34.225.103, lip=169.254.2.1, mpid=3768149, TLS, session=<ct7bbOw/qtpyIuFn>
+		Sep 29 08:28:52 qbpwcf.org dovecot[98]: imap(liveuser)<3768149><ct7bbOw/qtpyIuFn>: Disconnected: Connection closed (UID FETCH finished 0.045 secs ago) in=196 out=2381 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0
+		Sep 29 08:28:53 qbpwcf.org dovecot[98]: imap-login: Login: user=<liveuser>, method=PLAIN, rip=114.34.225.103, lip=169.254.2.1, mpid=3768155, TLS, session=<DvP1bOw/tNpyIuFn>
+		Sep 29 08:28:55 qbpwcf.org dovecot[98]: imap(liveuser)<3768155><DvP1bOw/tNpyIuFn>: Disconnected: Connection closed (UID SEARCH finished 0.180 secs ago) in=119 out=1504 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0
+		Sep 29 08:39:24 qbpwcf.org auth[3775219]: pam_unix(dovecot:auth): check pass; user unknown
+		Sep 29 08:39:24 qbpwcf.org auth[3775219]: pam_unix(dovecot:auth): authentication failure; logname=liveuser uid=0 euid=0 tty=dovecot ruser=test rhost=196.251.92.78
+		Sep 29 08:40:44 qbpwcf.org auth[3776113]: pam_unix(dovecot:auth): check pass; user unknown
+		Sep 29 08:40:44 qbpwcf.org auth[3776113]: pam_unix(dovecot:auth): authentication failure; logname=liveuser uid=0 euid=0 tty=dovecot ruser=1q2w3e4r5t4567 rhost=158.94.208.72
+		Sep 29 08:41:18 qbpwcf.org auth[3776113]: pam_unix(dovecot:auth): check pass; user unknown
+		Sep 29 08:41:18 qbpwcf.org auth[3776113]: pam_unix(dovecot:auth): authentication failure; logname=liveuser uid=0 euid=0 tty=dovecot ruser=spam rhost=62.60.130.148
 		*/
-		#針對每列輸出
+		#認證失敗的關鍵字
-		foreach($callShell["output"] as $line){
+		$keyWordAF="authentication failure";
-			#用 " " 區分內容
+		#未認證或SSL錯誤
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
+		$keyWordNAA="no auth attempts";
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$line;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=" ";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
+		#搜尋符合關鍵字的log行
+		#函式說明:
+		#檢查多個字串中的每個字串是否有多個關鍵字
+		#回傳結果:
+		#$result["status"],整體來說，執行是否成功，"true"代表執行成功，"false"代表執行失敗。
+		#$result["function"],當前執行的函數名稱.
+		#$result["error"],錯誤訊息.
+		#$result["argu"],使用的參數.
+		#$result["foundedTrueKey"],結果為"true"的被搜尋元素key陣列,與其數值內容.
+		#$result["foundedKeyWords"],找到的關鍵字陣列.
+		#$result["foundedFalseKey"],結果為"false"的被搜尋元素key陣列,與其數值內容.
+		#$result["foundedTrueKeyWords"],二維陣列,各個字串有找到的關鍵字陣列.
+		#$result["foundedAll"],是否每個關鍵字都有找到,"true"代表每個都有找到,"false"代表沒有每個都找到.
+		#$result["keyWordsIncludeStr"],陣列,儲存有找到關鍵字的來源的索引(sourceIndex)與其內容(sourceVal)跟找到的關鍵字項目陣列(KeyWords).
+		#必填參數:
+		#$conf["keyWords"],字串陣列,想要搜尋的關鍵字.
+		$conf["search::findManyKeyWordsFromManyString"]["keyWords"]=array($keyWordAF,$keyWordNAA);
+		#$conf["stringArray"],字串陣列,要被搜尋的字串內容陣列.
+		$conf["search::findManyKeyWordsFromManyString"]["stringArray"]=$callShell["output"];
+		#可省略參數:
+		#$conf["completeEqual"],字串,是否內容要完全符合，不能多出任何不符合的內容，預設為"false"不需要完全符合.
+		#$conf["completeEqual"]="true";
+		#參考資料:
+		#無.
+		#備註:
+		#無.
+		$findManyKeyWordsFromManyString=search::findManyKeyWordsFromManyString($conf["search::findManyKeyWordsFromManyString"]);
+		unset($conf["search::findManyKeyWordsFromManyString"]);
-			#如果分割失敗
+		#如果執行失敗
-			if($spiltString["status"]==="false"){
+		if($findManyKeyWordsFromManyString["status"]==="false"){
-				#設置執行失敗
+			#設置執行失敗
-				$result["status"]="false";
+			$result["status"]="false";
-				#設置錯誤訊息
+			#設置錯誤訊息
-				$result["error"]=$spiltString;
+			$result["error"]=$findManyKeyWordsFromManyString;
-				#回傳結果
+			#回傳結果
-				return $result;
+			return $result;
-				}#if end
+			}#if end
-			#取得時間
-			$time=$spiltString["dataArray"][2];
-			#用 "rip=" 切割
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
+		#初始化儲存可能有問題的存取Dovecot服務遠端ip
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$line;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]="rip=";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
+		$rickyIpsOfDocecot=array();
+		#針對每個符合的log行
+		foreach($findManyKeyWordsFromManyString["foundedTrueKey"] as $index => $oriLog){
-			#如果分割失敗
+			#找到的關鍵字
-			if($spiltString["status"]==="false"){
+			$foundKeyWord=$findManyKeyWordsFromManyString["foundedTrueKeyWords"][$index][0];
+			#依照符合的關鍵字
+			switch($foundKeyWord){
+				#如果是認證失敗
+				case $keyWordAF:
+					#範例
+					#Sep 29 08:41:18 qbpwcf.org auth[3776113]: pam_unix(dovecot:auth): authentication failure; logname=liveuser uid=0 euid=0 tty=dovecot ruser=spam rhost=62.60.130.148
+					#${month} ${day} ${hour}:${min}:${sec} ${doNotNeed} : authentication failure; logname=${account} ${doNotNeed} rhost=${ip}
+					#取得時間點跟遠端IP
+					#函式說明：
+					#尋找字串中是否含有符合格式的內容,且回傳解析好的變數數值.
+					#回傳結果:
+					#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+					#$reuslt["error"],執行不正常結束的錯訊息陣列.
+					#$result["function"],當前執行的函式名稱.
+					#$result["argu"],所使用的參數.
+					#$result["found"],是否有找到符合格式的字串內容,"true"代表有找到,"false"代表沒有找到.
+					#$result["content"],陣列,若為n個${*},則當found為"true"時,就會回傳n個元素.
+					#$result["parsedVar"][varName],陣列,解析好的變數陣列,varName為${}中的內容.
+					#必填參數:
+					#$conf["input"],字串,要檢查的字串.
+					$conf["search::findSpecifyStrFormat"]["input"]=$oriLog;
+					#$conf["format"],格式字串,要尋找的格式字串.格式為固定的字串("fixedStr format")與變數("${keyWordVarName}")組成.
+					$conf["search::findSpecifyStrFormat"]["format"]="\${month} \${day} \${hour}:\${min}:\${sec} \${doNotNeed} : authentication failure; logname=\${account} \${doNotNeed} rhost=\${ip}";
+					#可省略參數:
+					#$conf["varEqual"],陣列,變數對應的數值,null代表不指定,其他內容代表該變數解析出來必須要為該內容.
+					#$conf["search::findSpecifyStrFormat"]["varEqual"]=array(null,"found");
-				#設置執行失敗
+					#$conf["varCon"],陣列,每個varEqual為null者,其是否有其他條件,預設為null代表無其他條件,條件的表示是用陣列的key與value來表達,例如:array("no_tail"=>" not"),就代表變數的結尾不能為" not",可以用的key有"head",代表開頭要有什麼;"no_head",代表不能為什麼開頭;"tail",代表要什麼結尾;"no_tail",代表不能什麼結尾.
+					#$conf["varCon"]=array("no_tail"=>" not");
+					#參考資料:
+					#無.
+					#備註:
+					#無.
+					$findSpecifyStrFormat=search::findSpecifyStrFormat($conf["search::findSpecifyStrFormat"]);
+					unset($conf["search::findSpecifyStrFormat"]);
+					#如果分割失敗
+					if($findSpecifyStrFormat["status"]==="false"){
+						#設置執行失敗
-				$result["status"]="false";
+						$result["status"]="false";
-				#設置錯誤訊息
+						#設置錯誤訊息
-				$result["error"]=$spiltString;
+						$result["error"]=$findSpecifyStrFormat;
-				#回傳結果
+						#回傳結果
+						return $result;
+						}#if end
+					#如果沒有符合格式
+					if($findSpecifyStrFormat["found"]==="false"){
+						#跳過該行
+						continue 2;
+						}#if end
+					#取得時間點
-				return $result;
+					$time=$findSpecifyStrFormat["parsedVar"]["month"][0]." ".$findSpecifyStrFormat["parsedVar"]["day"][0]." ".$findSpecifyStrFormat["parsedVar"]["hour"][0].":".$findSpecifyStrFormat["parsedVar"]["min"][0].":".$findSpecifyStrFormat["parsedVar"]["sec"][0];
-				}#if end
+					#取得ip
+					$ip=$findSpecifyStrFormat["parsedVar"]["ip"][0];
+					#儲存其資訊
+					$rickyIpsOfDocecot[$ip][]=array("time"=>$time,"ip"=>$ip,"log"=>$oriLog);
+					#跳出  switch
+					break;
+				#如果是未認證或SSL錯誤
+				case $keyWordNAA:
+					#範例
-			#如果不存在 client ip 字串
+					#Feb 23 07:59:30 localhost.localdomain dovecot[1427]: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=101.136.215.61, lip=169.254.1.1, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<70q2l/W7PBhliNc9>
+					#Sep 29 06:53:42 qbpwcf.org dovecot[98]: imap-login: Disconnected: Connection closed (no auth attempts in 0 secs): user=<>, rip=3.231.151.171, lip=169.254.2.1, TLS, session=<MaKQGOs/wIMD55er>
+					#${month} ${day} ${hour}:${min}:${sec} ${doNotNeed} ( no auth attempts in ${doNotNeed} user=<${account}>, rip=${ip}, ${doNotNeed}
+					#取得時間點跟遠端IP
+					#函式說明：
+					#尋找字串中是否含有符合格式的內容,且回傳解析好的變數數值.
+					#回傳結果:
+					#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+					#$reuslt["error"],執行不正常結束的錯訊息陣列.
+					#$result["function"],當前執行的函式名稱.
+					#$result["argu"],所使用的參數.
+					#$result["found"],是否有找到符合格式的字串內容,"true"代表有找到,"false"代表沒有找到.
+					#$result["content"],陣列,若為n個${*},則當found為"true"時,就會回傳n個元素.
+					#$result["parsedVar"][varName],陣列,解析好的變數陣列,varName為${}中的內容.
+					#必填參數:
+					#$conf["input"],字串,要檢查的字串.
+					$conf["search::findSpecifyStrFormat"]["input"]=$oriLog;
+					#$conf["format"],格式字串,要尋找的格式字串.格式為固定的字串("fixedStr format")與變數("${keyWordVarName}")組成.
+					$conf["search::findSpecifyStrFormat"]["format"]="\${month} \${day} \${hour}:\${min}:\${sec} \${doNotNeed} ( no auth attempts in \${doNotNeed} user=<\${account}>, rip=\${ip}, \${doNotNeed}";
+					#可省略參數:
+					#$conf["varEqual"],陣列,變數對應的數值,null代表不指定,其他內容代表該變數解析出來必須要為該內容.
+					#$conf["search::findSpecifyStrFormat"]["varEqual"]=array(null,"found");
-			if(!isset($spiltString["dataArray"][1])){
+					#$conf["varCon"],陣列,每個varEqual為null者,其是否有其他條件,預設為null代表無其他條件,條件的表示是用陣列的key與value來表達,例如:array("no_tail"=>" not"),就代表變數的結尾不能為" not",可以用的key有"head",代表開頭要有什麼;"no_head",代表不能為什麼開頭;"tail",代表要什麼結尾;"no_tail",代表不能什麼結尾.
+					#$conf["varCon"]=array("no_tail"=>" not");
+					#參考資料:
+					#無.
+					#備註:
+					#無.
+					$findSpecifyStrFormat=search::findSpecifyStrFormat($conf["search::findSpecifyStrFormat"]);
+					unset($conf["search::findSpecifyStrFormat"]);
+					#如果分割失敗
+					if($findSpecifyStrFormat["status"]==="false"){
+						#設置執行失敗
+						$result["status"]="false";
+						#設置錯誤訊息
+						$result["error"]=$findSpecifyStrFormat;
+						#回傳結果
+						return $result;
+						}#if end
+					#如果沒有符合格式
+					if($findSpecifyStrFormat["found"]==="false"){
-				#跳過
+						#跳過該行
+						continue 2;
+						}#if end
+					#取得時間點
-				continue;
+					$time=$findSpecifyStrFormat["parsedVar"]["month"][0]." ".$findSpecifyStrFormat["parsedVar"]["day"][0]." ".$findSpecifyStrFormat["parsedVar"]["hour"][0].":".$findSpecifyStrFormat["parsedVar"]["min"][0].":".$findSpecifyStrFormat["parsedVar"]["sec"][0];
+					#取得ip
+					$ip=$findSpecifyStrFormat["parsedVar"]["ip"][0];
+					#儲存其資訊
+					$rickyIpsOfDocecot[$ip][]=array("time"=>$time,"ip"=>$ip,"log"=>$oriLog);
+					#跳出  switch
+					break;
+				#不應該執行到這邊
+				default:
+					#設置執行失敗
+					$result["status"]="false";
+					#設置錯誤訊息
+					$result["error"][]="unexpected error";
+					#設置錯誤訊息
+					$result["error"][]=$findManyKeyWordsFromManyString;
-				}#if end
+					#回傳結果
+					return $result;
-			#取得含有 client IP 的字串
+				}#switch end
-			$clientIpStr=$spiltString["dataArray"][1];
-			#用 "," 切割
+			}#foreach end
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$clientIpStr;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=",";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
-			#如果分割失敗
+		#初始化儲存可能有問題的ip資訊
-			if($spiltString["status"]==="false"){
+		$risky_ips=array();
-				#設置執行失敗
+		#針對每個ip
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
+		foreach($rickyIpsOfDocecot as $ip => $info){
-				#回傳結果
-				return $result;
-				}#if end
-			#取得來源ip
+			#如果同樣ip不到3次
-			$clientIp=$spiltString["dataArray"][0];
+			if(count($rickyIpsOfDocecot[$ip])<3){
-			#如果計數不存在
-			if(!isset($attacker_ips_imap[$time][$clientIp])){
-				#初始計數為1
+				#換看下個ip
-				$attacker_ips_imap[$time][$clientIp]=1;
+				continue;
-				#記錄log行內容
-				$attacker_ips_imap[$time]["log"]=$line;
 				}#if end
-			#反之
+			#儲存可能有問題的ip資訊
-			else{
+			$risky_ips[]=$rickyIpsOfDocecot[$ip];
-				#計數加1
-				$attacker_ips_imap[$time][$clientIp]++;
-				}#else end
 			}#foreach end
-		#存放真正有問題的imap ip清單
+		#針對每個可能有問題ip的每個log行
-		$ips_imap=array();
-		#針對每個時間點
-		foreach($attacker_ips_imap as $time=>$times){
-			#針對每個列管的ip
-			foreach($times as $ip => $count){
+		foreach($risky_ips as $ip => $infos){
+			#初始化記錄ip來訪不大於1分鐘的計數
+			$count=0;
+			#針對每個log行資訊
+			foreach($infos as $index => $info){
+				#unixtime
+				$time=strtotime($info["time"]);
+				#如果沒有下筆記錄
+				if(!isset($risky_ips[$index+1])){
+					#結束 foreach
+					break;
+					}#if end
-				#如果是log
+				#取得unixtime
+				$next_time=strtotime($risky_ips[$index+1]["time"]);
+				#如果時間間隔大於60秒
-				if($ip==="log"){
+				if($next_time-$time>60){
-					#跳過
+					#跳過,看下筆記錄
 					continue;
 					}#if end
-				#如果累積次數達到3
-				if($count>=3){
-					#儲存有問題ip的資訊
-					$info=array();
-					#記錄 ip
+				#計數+1
-					$info["ip"]=$ip;
+				$count++;
-					#記錄該行 log 內容
-					$info["log"]=$attacker_ips_imap[$time]["log"];
-					#記錄時間
-					$info["time"]=$time;
+				}#foreach end
-					#記錄有問題的imap ip清單
+			#如果有達到3次
-					$ips_imap[]=$info;
+			if($count>=3){
-					}#if end
+				#記錄攻擊者的IP
+				$$attacker_ips_imap[]=$ip;
-				}#foreach end
+				}#if end
-			}#foreach end
+			}#foreach end
 		#記錄ssh攻擊者的IP
 		$attacker_ips_ssh=array();
-		#透過 journalctl -a -e | grep sshd | grep failed 來取得 ssh 攻擊者的 IP
+		#透過 journalctl -a -e --unit=sshd.service來取得 ssh 攻擊者的 IP
 		#函式說明:
 		#呼叫shell執行系統命令,並取得回傳的內容.
 		#回傳的結果:
 		#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
 		#$result["error"],錯誤訊息陣列.
 		#$result["statusCode"],執行結束後的代碼.
 		#必填參數:
 		#$conf["command"],字串,要執行的指令與.
 		$conf["external::callShell"]["command"]="journalctl";
 		#$conf["fileArgu"],字串,變數__FILE__的內容.
 		$conf["external::callShell"]["fileArgu"]=$conf["fileArgu"];
 		#可省略參數:
 		#$conf["argu"],陣列字串,指令搭配的參數,預設為空陣列.
-		$conf["external::callShell"]["argu"]=array("-a","-e","|","grep","sshd","|","grep","failed");
+		$conf["external::callShell"]["argu"]=array("-a","-e","--unit=sshd.service");
 		#$conf["arguIsAddr"],陣列字串,指令搭配的哪些參數為路徑,為路徑的參數會進行轉換以便符合呼叫當前函式的位置,預設不指定,若有3個參數,其中第3個參數為路徑,則表示為array("false","false","true").
 		#$conf["arguIsAddr"]=array();
 		#$conf["pre"],陣列,要在本指令前執行的每個指令與參數.
 		#$conf["pre"][$i]["cmd"],字串,要在本指令前執行的第$i+1個指令.
 		#$conf["pre"][$i]["param"],陣列字串,要在本指令前執行的第$i+1個指令的參數.
 		#escapeshellarg=>http://php.net/manual/en/function.escapeshellarg.php
 		$callShell=external::callShell($conf["external::callShell"]);
 		unset($conf["external::callShell"]);
 		#如果執行失敗
-		if($callShell["status"]==="false" && ( $callShell["statusCode"]!==0 && $callShell["statusCode"]!==1 ) ){
+		if($callShell["status"]==="false"){
 			#設置執行失敗
 			$result["status"]="false";
 			#設置錯誤訊息
 			}#if end
 		/*
 		得到的範例輸出
-		Apr 03 07:35:05 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858888]: USER_LOGIN pid=2858888 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=81.30.179.11 terminal=ssh res=failed'
+		Sep 30 00:36:36 silverblue-guest.qbpwcf.org sshd-session[1607010]: Invalid user lizepeng from 60.213.10.69 port 39156
-		Apr 03 07:35:07 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858891]: USER_AUTH pid=2858891 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=49.88.112.77 addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 00:36:36 silverblue-guest.qbpwcf.org sshd-session[1607010]: pam_unix(sshd:auth): check pass; user unknown
-		Apr 03 07:35:09 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858891]: USER_AUTH pid=2858891 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=49.88.112.77 addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 00:36:36 silverblue-guest.qbpwcf.org sshd-session[1607010]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.213.10.69
-		Apr 03 07:35:12 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858891]: USER_AUTH pid=2858891 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=49.88.112.77 addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 00:36:38 silverblue-guest.qbpwcf.org sshd-session[1607010]: Failed password for invalid user lizepeng from 60.213.10.69 port 39156 ssh2
-		Apr 03 07:35:14 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858891]: USER_LOGIN pid=2858891 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="root" exe="/usr/sbin/sshd" hostname=? addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 00:36:40 silverblue-guest.qbpwcf.org sshd-session[1607010]: Connection closed by invalid user lizepeng 60.213.10.69 port 39156 [preauth]
-		Apr 03 07:35:22 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858896]: USER_AUTH pid=2858896 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=49.88.112.77 addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 05:54:01 silverblue-guest.qbpwcf.org sshd-session[2346022]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.213.10.81  user=root
-		Apr 03 07:35:23 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858901]: USER_AUTH pid=2858901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="bot" exe="/usr/sbin/sshd" hostname=103.149.27.65 addr=103.149.27.65 terminal=ssh res=failed'
+		Sep 30 05:54:03 silverblue-guest.qbpwcf.org sshd-session[2346022]: Failed password for root from 60.213.10.81 port 41644 ssh2
-		Apr 03 07:35:23 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858899]: USER_AUTH pid=2858899 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="insserver" exe="/usr/sbin/sshd" hostname=129.146.81.43 addr=129.146.81.43 terminal=ssh res=failed'
+		Sep 30 05:54:04 silverblue-guest.qbpwcf.org sshd-session[2346022]: Connection closed by authenticating user root 60.213.10.81 port 41644 [preauth]
-		Apr 03 07:35:24 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858896]: USER_AUTH pid=2858896 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=49.88.112.77 addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 05:54:20 silverblue-guest.qbpwcf.org sshd-session[2346860]: Invalid user qy from 60.213.10.81 port 42960
-		Apr 03 07:35:25 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858901]: USER_LOGIN pid=2858901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=103.149.27.65 terminal=ssh res=failed'
+		Sep 30 05:54:21 silverblue-guest.qbpwcf.org sshd-session[2346860]: pam_unix(sshd:auth): check pass; user unknown
-		Apr 03 07:35:25 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858899]: USER_LOGIN pid=2858899 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="(unknown)" exe="/usr/sbin/sshd" hostname=? addr=129.146.81.43 terminal=ssh res=failed'
+		Sep 30 05:54:21 silverblue-guest.qbpwcf.org sshd-session[2346860]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.213.10.81
-		Apr 03 07:35:27 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858896]: USER_AUTH pid=2858896 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=49.88.112.77 addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 05:54:22 silverblue-guest.qbpwcf.org sshd-session[2346860]: Failed password for invalid user qy from 60.213.10.81 port 42960 ssh2
-		Apr 03 07:35:29 ip-172-31-46-128.ap-southeast-1.compute.internal audit[2858896]: USER_LOGIN pid=2858896 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="root" exe="/usr/sbin/sshd" hostname=? addr=49.88.112.77 terminal=ssh res=failed'
+		Sep 30 05:54:23 silverblue-guest.qbpwcf.org sshd-session[2346860]: Connection closed by invalid user qy 60.213.10.81 port 42960 [preauth]
-		Mar 07 12:14:24 mail.qbpwcf.org sshd[3253686]: error: connect_to 127.0.0.1 port 5950: failed.
+		Sep 30 06:08:06 silverblue-guest.qbpwcf.org sshd-session[2378295]: Connection closed by 167.94.145.105 port 55712 [preauth]
-		*/
-		#針對每列輸出
-		foreach($callShell["output"] as $line){
-			#用 "addr=" 區分內容
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
+		Sep 30 08:09:51 silverblue-guest.qbpwcf.org sshd-session[2662907]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.13.207.69  user=root
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$line;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]="addr=";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
+		Sep 30 08:09:54 silverblue-guest.qbpwcf.org sshd-session[2662907]: Failed password for root from 183.13.207.69 port 18258 ssh2
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
-			#如果分割失敗
-			if($spiltString["status"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#如果沒有找到分割用的關鍵字
-			if($spiltString["found"]==="false"){
-				#設置執行失敗
-				$result["status"]="true";
-				#設置警告訊息
-				$result["warning"][]=$spiltString;
-				#跳過
-				continue;
-				}#if end
-			#取得IP位址開頭的字串
-			$ipStr=$spiltString["dataArray"][1];
-			#用 " " 區分內容
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
+		Sep 30 08:09:54 silverblue-guest.qbpwcf.org sshd-session[2662907]: Connection closed by authenticating user root 183.13.207.69 port 18258 [preauth]
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
+		Sep 30 08:10:11 silverblue-guest.qbpwcf.org sshd-session[2663658]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.13.207.69  user=root
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$ipStr;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=" ";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
+		Sep 30 08:10:13 silverblue-guest.qbpwcf.org sshd-session[2663658]: Failed password for root from 183.13.207.69 port 17293 ssh2
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
+		Sep 30 08:10:13 silverblue-guest.qbpwcf.org sshd-session[2663658]: Connection closed by authenticating user root 183.13.207.69 port 17293 [preauth]
-			unset($conf["stringProcess::spiltString"]);
-			#如果分割失敗
-			if($spiltString["status"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
+		*/
-			#如果沒有找到分割用的關鍵字
-			if($spiltString["found"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#取得IP位址
+		#認證失敗的關鍵字
-			$ip=$spiltString["dataArray"][0];
+		$keyWordFP=" Failed password ";
-			#用 " " 區分內容
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$line;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=" ";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
-			#如果分割失敗
-			if($spiltString["status"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#如果沒有找到分割用的關鍵字
+		#不存在使用者的關鍵字
-			if($spiltString["found"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
+		$keyWordIU=" Invalid user ";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#取得含有秒數的時間點
-			$timeWithSec=$spiltString["dataArray"][2];
-			#用 ":" 區分內容
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$timeWithSec;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=":";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
-			#如果分割失敗
-			if($spiltString["status"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#如果沒有找到分割用的關鍵字
-			if($spiltString["found"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#時間包含到分鐘的字串
+		#搜尋符合關鍵字的log行
-			$timeWithMin=$spiltString["dataArray"][0].":".$spiltString["dataArray"][1];
-			#如果該時間分對應的ip不存在
-			if(!isset($attacker_ips_ssh[$timeWithMin][$ip])){
-				#初始化為1次
-				$attacker_ips_ssh[$timeWithMin][$ip]["count"]=1;
-				#記錄內容
-				$attacker_ips_ssh[$timeWithMin][$ip]["line"][]=$line;
-				}#if end
-			#反之
-			else{
-				#計數+1
-				$attacker_ips_ssh[$timeWithMin][$ip]["count"]++;
-				#記錄內容
-				$attacker_ips_ssh[$timeWithMin][$ip]["line"][]=$line;
-				}#else end
-			}#foreach end
-		#透過 journalctl -a -e | grep sshd | grep 'Invalid user ' | grep ' from ' 來取得 ssh 攻擊者的 IP
 		#函式說明:
-		#呼叫shell執行系統命令,並取得回傳的內容.
+		#檢查多個字串中的每個字串是否有多個關鍵字
-		#回傳的結果:
+		#回傳結果:
-		#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+		#$result["status"],整體來說，執行是否成功，"true"代表執行成功，"false"代表執行失敗。
-		#$result["error"],錯誤訊息陣列.
+		#$result["function"],當前執行的函數名稱.
-		#$result["function"],當前執行的函式名稱.
+		#$result["error"],錯誤訊息.
 		#$result["argu"],使用的參數.
+		#$result["foundedTrueKey"],結果為"true"的被搜尋元素key陣列,與其數值內容.
-		#$result["cmd"],執行的指令內容.
+		#$result["foundedKeyWords"],找到的關鍵字陣列.
-		#$result["fullCmd"],如果參數 $conf["inBackGround"] 為 "true" 則會回傳該值.
+		#$result["foundedFalseKey"],結果為"false"的被搜尋元素key陣列,與其數值內容.
-		#$result["output"],爲執行完二元碼後的輸出陣列,若 $conf["inBackGround"] 為 "true",則為當下的輸出.
+		#$result["foundedTrueKeyWords"],二維陣列,各個字串有找到的關鍵字陣列.
-		#$result["tmpFileOutput"],儲存輸出的暫存檔案名稱,若 $conf["inBackGround"] 為 "true" 則會回傳該值.
+		#$result["foundedAll"],是否每個關鍵字都有找到,"true"代表每個都有找到,"false"代表沒有每個都找到.
-		#$result["running"],是否還在執行.
-		#$result["pid"],pid.
-		#$result["statusCode"],執行結束後的代碼.
+		#$result["keyWordsIncludeStr"],陣列,儲存有找到關鍵字的來源的索引(sourceIndex)與其內容(sourceVal)跟找到的關鍵字項目陣列(KeyWords).
 		#必填參數:
-		#$conf["command"],字串,要執行的指令與.
+		#$conf["keyWords"],字串陣列,想要搜尋的關鍵字.
-		$conf["external::callShell"]["command"]="journalctl";
+		$conf["search::findManyKeyWordsFromManyString"]["keyWords"]=array($keyWordFP,$keyWordIU);
-		#$conf["fileArgu"],字串,變數__FILE__的內容.
+		#$conf["stringArray"],字串陣列,要被搜尋的字串內容陣列.
-		$conf["external::callShell"]["fileArgu"]=$conf["fileArgu"];
+		$conf["search::findManyKeyWordsFromManyString"]["stringArray"]=$callShell["output"];
 		#可省略參數:
-		#$conf["argu"],陣列字串,指令搭配的參數,預設為空陣列.
-		$conf["external::callShell"]["argu"]=array("-a","-e","|","grep","sshd","|","grep","Invalid user","|","grep"," from ");
-		#$conf["arguIsAddr"],陣列字串,指令搭配的哪些參數為路徑,為路徑的參數會進行轉換以便符合呼叫當前函式的位置,預設不指定,若有3個參數,其中第3個參數為路徑,則表示為array("false","false","true").
-		#$conf["arguIsAddr"]=array();
-		#$conf["pre"],陣列,要在本指令前執行的每個指令與參數.
-		#$conf["pre"][$i]["cmd"],字串,要在本指令前執行的第$i+1個指令.
-		#$conf["pre"][$i]["param"],陣列字串,要在本指令前執行的第$i+1個指令的參數.
-		#$conf["enablePrintDescription"],字串,是否要印出$conf["printDescription"]的內容,"true"代表要,"false"代表不要,預設為"false".
+		#$conf["completeEqual"],字串,是否內容要完全符合，不能多出任何不符合的內容，預設為"false"不需要完全符合.
-		#$conf["enablePrintDescription"]="true";
+		#$conf["completeEqual"]="true";
-		#$conf["printDescription"],字串,執行該外部程式前要印出來的的文字,預設為$conf["command"]的內容加上使用的$conf["argu"]參數.
-		#$conf["printDescription"]="";
-		#$conf["escapeshellarg"],字串,是否要啟用過濾參數,用了比較安全,但可能會出錯,"true"為啟用,"false"為不啟用,預設為"false".
-		$conf["external::callShell"]["escapeshellarg"]="true";
-		#$conf["username"],字串,要用什麼使用者來執行,預設為執行php的使用者,該參數不適用於apache環境.
-		#$conf["username"]="";
+		#參考資料:
-		#$conf["password"],字串,root的使用者密碼,預設不使用密碼,該參數不適用於apache環境.
-		#$conf["password"]="";
+		#無.
-		#$conf["useScript"],字串,是否要啟用Linux的script指令來記錄輸出,"true"代表要,Fedora的selinux會擋住該操作;"false"代表不要,預設為"false".
-		#$conf["useScript"]="";
-		#$conf["logFilePath"],字串,當 $conf["useScript"] 為 "true" 時,輸出的內容要暫存到哪裡,預設為 "/tmp/.qbpwcf_tmp/external/callShell/".
-		#$conf["logFilePath"]=".qbpwcf_tmp/external/callShell/";
-		#$conf["inBackGround"],字串,是否要在背景執行,且不會等待程式執行結束再執行下一個指令,"true"代表是,"false"代表不要,預設為"false",如果$conf["command"]有用「;」區隔的多個指令將會出錯.
-		#$conf["inBackGround"]="";
-		#$conf["getErr"],字串,"true"代表將錯誤輸出變成標準輸出,反之"false"為不變動.
-		#$conf["getErr"]="false";
 		#備註:
-		#不是所有指令都能用apache的身份執行,目前已知java,javac指令無法執行,使用root身份可能會被selinux阻擋.
-		#參考資料：
+		#無.
-		#exec=>http://php.net/manual/en/function.exec.php
-		#escapeshellcmd=>http://php.net/manual/en/function.escapeshellcmd.php
-		#escapeshellarg=>http://php.net/manual/en/function.escapeshellarg.php
+		$findManyKeyWordsFromManyString=search::findManyKeyWordsFromManyString($conf["search::findManyKeyWordsFromManyString"]);
-		$callShell=external::callShell($conf["external::callShell"]);
-		unset($conf["external::callShell"]);
+		unset($conf["search::findManyKeyWordsFromManyString"]);
 		#如果執行失敗
-		if($callShell["status"]==="false" && ( $callShell["statusCode"]!==0 && $callShell["statusCode"]!==1 ) ){
+		if($findManyKeyWordsFromManyString["status"]==="false"){
 			#設置執行失敗
 			$result["status"]="false";
 			#設置錯誤訊息
-			$result["error"]=$callShell;
+			$result["error"]=$findManyKeyWordsFromManyString;
 			#回傳結果
 			return $result;
 			}#if end
-		#得到的範例輸出
-		#Dec 22 15:51:48 mail.qbpwcf.org sshd[3518693]: Invalid user xl from 159.89.131.172 port 44458
-		#debug
-		#var_dump(__LINE__,$callShell["output"]);
-		#針對每列輸出
-		foreach($callShell["output"] as $line){
-			#備份原始的內容
-			$ori_line=$line;
-			#移除多餘的資訊
-			#函式說明:
-			#將字串特定關鍵字與其前面的內容剔除
+		#初始化儲存可能有問題的存取ssh服務遠端ip
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列.
-			#$result["warning"],警告訊息鎮列.
-			#$result["founded"],有無找到定字串"true"代表有,"false"代表沒有.
-			#$result["function"],當前執行的函數名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要處理的原始字串內容.
-			#$result["content"],處理好的的字串內容.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::delStrBeforeKeyWord"]["stringIn"]=$line;
-			#$conf["keyWord"],字串,特定字串.
-			$conf["stringProcess::delStrBeforeKeyWord"]["keyWord"]=" Invalid user ";
-			#可省略參數:
-			#$conf["recursive"],字串,預設為"false"代表找到一個關鍵字就會停止;"true"代表會即重複執行,知道沒有關鍵字為止.
-			#$conf["recursive"]="true";
+		$risky_ips=array();
-			#$conf["lastResult"],陣列,本函式前次執行的結果,若沒有找到關鍵字，則回改回傳該內容.
-			#$conf["lastResult"]=$delStrBeforeKeyWord;
-			#參考資料:
-			#無.
-			#備註:
-			#無.
-			$delStrBeforeKeyWord=stringProcess::delStrBeforeKeyWord($conf["stringProcess::delStrBeforeKeyWord"]);
-			unset($conf["stringProcess::delStrBeforeKeyWord"]);
-			#debug
+		#針對每個符合的log行
-			#var_dump(__LINE__,$delStrBeforeKeyWord);
+		foreach($findManyKeyWordsFromManyString["foundedTrueKey"] as $index => $oriLog){
-			#如果執行失敗
+			#找到的關鍵字
-			if($delStrBeforeKeyWord["status"]==="false"){
+			$foundKeyWord=$findManyKeyWordsFromManyString["foundedTrueKeyWords"][$index][0];
+			#依照符合的關鍵字
+			switch($foundKeyWord){
+				#如果是秘密碼錯誤
+				case $keyWordFP:
+					#範例
+					#Sep 30 08:10:13 silverblue-guest.qbpwcf.org sshd-session[2663658]: Failed password for root from 183.13.207.69 port 17293 ssh2
+					#${month} ${day} ${hour}:${min}:${sec} ${doNotNeed} Failed password for ${account} from ${ip} ${doNotNeed}
+					#取得時間點跟遠端IP
+					#函式說明：
+					#尋找字串中是否含有符合格式的內容,且回傳解析好的變數數值.
+					#回傳結果:
+					#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+					#$reuslt["error"],執行不正常結束的錯訊息陣列.
+					#$result["function"],當前執行的函式名稱.
+					#$result["argu"],所使用的參數.
+					#$result["found"],是否有找到符合格式的字串內容,"true"代表有找到,"false"代表沒有找到.
+					#$result["content"],陣列,若為n個${*},則當found為"true"時,就會回傳n個元素.
+					#$result["parsedVar"][varName],陣列,解析好的變數陣列,varName為${}中的內容.
+					#必填參數:
+					#$conf["input"],字串,要檢查的字串.
+					$conf["search::findSpecifyStrFormat"]["input"]=$oriLog;
+					#$conf["format"],格式字串,要尋找的格式字串.格式為固定的字串("fixedStr format")與變數("${keyWordVarName}")組成.
+					$conf["search::findSpecifyStrFormat"]["format"]="\${month} \${day} \${hour}:\${min}:\${sec} \${doNotNeed} Failed password for \${account} from \${ip} \${doNotNeed}";
+					#可省略參數:
+					#$conf["varEqual"],陣列,變數對應的數值,null代表不指定,其他內容代表該變數解析出來必須要為該內容.
+					#$conf["search::findSpecifyStrFormat"]["varEqual"]=array(null,"found");
-				#設置執行失敗
+					#$conf["varCon"],陣列,每個varEqual為null者,其是否有其他條件,預設為null代表無其他條件,條件的表示是用陣列的key與value來表達,例如:array("no_tail"=>" not"),就代表變數的結尾不能為" not",可以用的key有"head",代表開頭要有什麼;"no_head",代表不能為什麼開頭;"tail",代表要什麼結尾;"no_tail",代表不能什麼結尾.
+					#$conf["varCon"]=array("no_tail"=>" not");
+					#參考資料:
+					#無.
+					#備註:
+					#無.
+					$findSpecifyStrFormat=search::findSpecifyStrFormat($conf["search::findSpecifyStrFormat"]);
+					unset($conf["search::findSpecifyStrFormat"]);
+					#如果分割失敗
+					if($findSpecifyStrFormat["status"]==="false"){
+						#設置執行失敗
-				$result["status"]="false";
+						$result["status"]="false";
-				#設置錯誤訊息
+						#設置錯誤訊息
-				$result["error"]=$delStrBeforeKeyWord;
+						$result["error"]=$findSpecifyStrFormat;
-				#回傳結果
+						#回傳結果
-				return $result;
+						return $result;
+						}#if end
+					#如果沒有符合格式
+					if($findSpecifyStrFormat["found"]==="false"){
+						#跳過該行
+						continue 2;
+						}#if end
+					#取得時間點
-				}#if end
+					$time=$findSpecifyStrFormat["parsedVar"]["month"][0]." ".$findSpecifyStrFormat["parsedVar"]["day"][0]." ".$findSpecifyStrFormat["parsedVar"]["hour"][0].":".$findSpecifyStrFormat["parsedVar"]["min"][0].":".$findSpecifyStrFormat["parsedVar"]["sec"][0];
+					#取得ip
+					$ip=$findSpecifyStrFormat["parsedVar"]["ip"][0];
+					#儲存其資訊
+					$risky_ips[$ip][]=array("time"=>$time,"ip"=>$ip,"log"=>$oriLog);
+					#跳出  switch
+					break;
+				#如果是不存在的使用者
+				case $keyWordIU:
+					#範例
+					#Sep 30 00:36:36 silverblue-guest.qbpwcf.org sshd-session[1607010]: Invalid user lizepeng from 60.213.10.69 port 39156
+					#${month} ${day} ${hour}:${min}:${sec} ${doNotNeed} Invalid user ${account} from ${ip} port ${doNotNeed}
+					#取得時間點跟遠端IP
+					#函式說明：
+					#尋找字串中是否含有符合格式的內容,且回傳解析好的變數數值.
+					#回傳結果:
+					#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
+					#$reuslt["error"],執行不正常結束的錯訊息陣列.
+					#$result["function"],當前執行的函式名稱.
+					#$result["argu"],所使用的參數.
+					#$result["found"],是否有找到符合格式的字串內容,"true"代表有找到,"false"代表沒有找到.
+					#$result["content"],陣列,若為n個${*},則當found為"true"時,就會回傳n個元素.
+					#$result["parsedVar"][varName],陣列,解析好的變數陣列,varName為${}中的內容.
+					#必填參數:
+					#$conf["input"],字串,要檢查的字串.
+					$conf["search::findSpecifyStrFormat"]["input"]=$oriLog;
+					#$conf["format"],格式字串,要尋找的格式字串.格式為固定的字串("fixedStr format")與變數("${keyWordVarName}")組成.
+					$conf["search::findSpecifyStrFormat"]["format"]="\${month} \${day} \${hour}:\${min}:\${sec} \${doNotNeed} Invalid user \${account} from \${ip} port \${doNotNeed}";
+					#可省略參數:
+					#$conf["varEqual"],陣列,變數對應的數值,null代表不指定,其他內容代表該變數解析出來必須要為該內容.
+					#$conf["search::findSpecifyStrFormat"]["varEqual"]=array(null,"found");
-			#如果沒有理應存在內容
+					#$conf["varCon"],陣列,每個varEqual為null者,其是否有其他條件,預設為null代表無其他條件,條件的表示是用陣列的key與value來表達,例如:array("no_tail"=>" not"),就代表變數的結尾不能為" not",可以用的key有"head",代表開頭要有什麼;"no_head",代表不能為什麼開頭;"tail",代表要什麼結尾;"no_tail",代表不能什麼結尾.
+					#$conf["varCon"]=array("no_tail"=>" not");
+					#參考資料:
+					#無.
+					#備註:
+					#無.
+					$findSpecifyStrFormat=search::findSpecifyStrFormat($conf["search::findSpecifyStrFormat"]);
+					unset($conf["search::findSpecifyStrFormat"]);
+					#如果分割失敗
-			if($delStrBeforeKeyWord["founded"]==="false"){
+					if($findSpecifyStrFormat["status"]==="false"){
-				#設置執行失敗
+						#設置執行失敗
-				$result["status"]="false";
+						$result["status"]="false";
-				#設置錯誤訊息
+						#設置錯誤訊息
-				$result["error"]=$delStrBeforeKeyWord;
+						$result["error"]=$findSpecifyStrFormat;
-				#回傳結果
+						#回傳結果
-				return $result;
+						return $result;
-				}#if end
+						}#if end
-			#取得需要的部分
+					#如果沒有符合格式
-			$line=$delStrBeforeKeyWord["content"];
+					if($findSpecifyStrFormat["found"]==="false"){
-			#解析 ip
+						#跳過該行
-			#函式說明：
+						continue 2;
-			#將字串進行解析,取得兩個關鍵字中間的內容.
-			#回傳結果:
+						}#if end
-			#$result["status"],執行正常與否,"false"代表不正常,"true"代表正常.
-			#$result["function"],當前執行的函式內容.
-			#$result["error"],錯誤訊息陣列.
-			#$result["content"],取得的內容.
+					#取得時間點
-			#$result["oriStr"],原始的內容.
-			#$result["found"],是否有找到符合條件的內容.
+					$time=$findSpecifyStrFormat["parsedVar"]["month"][0]." ".$findSpecifyStrFormat["parsedVar"]["day"][0]." ".$findSpecifyStrFormat["parsedVar"]["hour"][0].":".$findSpecifyStrFormat["parsedVar"]["min"][0].":".$findSpecifyStrFormat["parsedVar"]["sec"][0];
-			#必填參數:
+					#取得ip
-			#$conf["input"],字串,要處理的字串.
-			$conf["stringProcess::getContentBetweenKeyWord"]["input"]=$line;
+					$ip=$findSpecifyStrFormat["parsedVar"]["ip"][0];
-			#$conf["startKeyWord"],字串,開頭的關鍵字.
-			$conf["stringProcess::getContentBetweenKeyWord"]["startKeyWord"]=" from ";
-			#$conf["endKeyWord"],字串,結束的關鍵字.
-			$conf["stringProcess::getContentBetweenKeyWord"]["endKeyWord"]=" port ";
-			#可省略參數:
-			#無.
-			#參考資料:
+					#儲存其資訊
+					$risky_ips[$ip][]=array("time"=>$time,"ip"=>$ip,"log"=>$oriLog);
-			#無.
-			#備註:
+					#跳出  switch
-			#無.
+					break;
-			$getContentBetweenKeyWord=stringProcess::getContentBetweenKeyWord($conf["stringProcess::getContentBetweenKeyWord"]);
-			unset($conf["stringProcess::getContentBetweenKeyWord"]);
-			#如果執行失敗
+				#不應該執行到這邊
-			if($getContentBetweenKeyWord["status"]==="false"){
+				default:
-				#設置執行失敗
+					#設置執行失敗
-				$result["status"]="false";
+					$result["status"]="false";
-				#設置錯誤訊息
+					#設置錯誤訊息
-				$result["error"]=$getContentBetweenKeyWord;
+					$result["error"][]="unexpected error";
-				#回傳結果
-				return $result;
-				}#if end
-			#如果沒有有該有的關鍵字
-			if($getContentBetweenKeyWord["found"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
+					#設置錯誤訊息
-				$result["error"]=$getContentBetweenKeyWord;
+					$result["error"][]=$findManyKeyWordsFromManyString;
-				#回傳結果
+					#回傳結果
-				return $result;
+					return $result;
-				}#if end
+				}#switch end
-			#取得ip
+			}#foreach end
-			$ip=$getContentBetweenKeyWord["content"];
-			#解析time
-			#用 " " 區分內容
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
+		#針對每個可能有問題ip的每個log行
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$ori_line;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=" ";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
+		foreach($risky_ips as $ip => $infos){
-			#如果分割失敗
+			#初始化記錄ip來訪不大於1分鐘的計數
-			if($spiltString["status"]==="false"){
+			$count=0;
-				#設置執行失敗
+			#針對每個log行資訊
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
-			#如果沒有找到分割用的關鍵字
-			if($spiltString["found"]==="false"){
+			foreach($infos as $index => $info){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
-				return $result;
-				}#if end
+				#unixtime
-			#取得含有秒數的時間點
-			$timeWithSec=$spiltString["dataArray"][2];
+				$time=strtotime($info["time"]);
-			#用 ":" 區分內容
-			#函式說明:
-			#將固定格式的字串分開，並回傳分開的結果。
-			#回傳結果:
-			#$result["status"],執行是否正常,"true"代表正常,"false"代表不正常.
-			#$result["error"],錯誤訊息陣列
-			#$result["function"],當前執行的函式名稱.
-			#$result["argu"],使用的參數.
-			#$result["oriStr"],要分割的原始字串內容
-			#$result["dataArray"],爲分割好字串的陣列內容,$result["dataArray"][$i]爲第($i+1)段的內容。
-			#$result["dataCounts"],爲總共分成幾段
-			#$result["found"],是否有在$conf["stringIn"]找到$conf["spiltSymbol"],"true"代表有找到,"false"代表沒有找到.
-			#必填參數:
-			#$conf["stringIn"],字串,要處理的字串.
-			$conf["stringProcess::spiltString"]["stringIn"]=$timeWithSec;
-			#$conf["spiltSymbol"],字串,爲以哪個符號作爲分割.
-			$conf["stringProcess::spiltString"]["spiltSymbol"]=":";
-			#可省略參數:
-			#$conf["allowEmptyStr"],是否允許分割出來空字串,預設為"false"不允許;"true"代表允許.
-			$conf["stringProcess::spiltString"]["allowEmptyStr"]="false";
-			$spiltString=stringProcess::spiltString($conf["stringProcess::spiltString"]);
-			unset($conf["stringProcess::spiltString"]);
-			#如果分割失敗
-			if($spiltString["status"]==="false"){
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
+				#如果沒有下筆記錄
-				$result["error"]=$spiltString;
+				if(!isset($risky_ips[$index+1])){
-				#回傳結果
-				return $result;
+					#結束 foreach
-				}#if end
+					break;
-			#如果沒有找到分割用的關鍵字
-			if($spiltString["found"]==="false"){
+					}#if end
-				#設置執行失敗
-				$result["status"]="false";
-				#設置錯誤訊息
-				$result["error"]=$spiltString;
-				#回傳結果
+				#取得unixtime
-				return $result;
-				}#if end
-			#時間包含到分鐘的字串
-			$timeWithMin=$spiltString["dataArray"][0].":".$spiltString["dataArray"][1];
-			#如果該時間分對應的ip不存在
-			if(!isset($attacker_ips_ssh[$timeWithMin][$ip])){
+				$next_time=strtotime($risky_ips[$index+1]["time"]);
-				#初始化為1次
+				#如果時間間隔大於60秒
-				$attacker_ips_ssh[$timeWithMin][$ip]["count"]=1;
+				if($next_time-$time>60){
-				#記錄內容
+					#跳過,看下筆記錄
-				$attacker_ips_ssh[$timeWithMin][$ip]["line"][]=$ori_line;
-				}#if end
+					continue;
-			#反之
-			else{
+					}#if end
 				#計數+1
-				$attacker_ips_ssh[$timeWithMin][$ip]["count"]++;
-				#記錄內容
-				$attacker_ips_ssh[$timeWithMin][$ip]["line"][]=$ori_line;
-				}#else end
+				$count++;
-			}#foreach end
-		#存放真正有問題的imap ip清單
-		$ips_ssh=array();
-		#針對每個時間點
-		foreach($attacker_ips_ssh as $times){
-			#針對每個列管的ip
-			foreach($times as $ip => $info){
-				#取得計數
+				}#foreach end
-				$count=$info["count"];
-				#取得該行
-				$ori_line=$info["line"];
-				#如果累積次數達到3
+			#如果有達到3次
-				if($count>=3){
+			if($count>=3){
-					#儲存該行log
-					$info["log"]=$ori_line;
-					#儲存ip
-					$info["ip"]=$ip;
-					#記錄有問題的imap ip清單
+				#記錄攻擊者的IP
-					$ips_ssh[]=$info;
+				$attacker_ips_ssh[]=$ip;
-					}#if end
+				}#if end
-				}#foreach end
 			}#foreach end
 		#合併取得的有問題IP集合
-		#$ips,$ips_https,$ips_smtp,$ips_imap,$attacker_ips_namd,ips_ssh
+		#$ips,$ips_https,$ips_smtp,$attacker_ips_imap,$attacker_ips_namd,$attacker_ips_ssh
 		#函式說明:
 		#將多個一維陣列串聯起來,key從0開始排序.
 		#回傳的結果：
 		#$result["status"],"true"表執行正常,"false"代表執行不正常.
 		#$result["error"],錯誤訊息陣列.
 		#$result["function"],當前執行的函式.
 		#$result["content"],合併好的一維陣列.
 		#必填參數:
 		#$conf["inputArray"],陣列,要合併的一維陣列變數，例如：=array($array1,$array2);
-		$conf["arrays::mergeArray"]["inputArray"]=array($ips,$ips_https,$ips_smtp,$attacker_ips_namd,$ips_imap,$ips_ssh);
+		$conf["arrays::mergeArray"]["inputArray"]=array($ips,$ips_https,$ips_smtp,$attacker_ips_namd,$attacker_ips_imap,$attacker_ips_ssh);
 		#可省略參數:
 		#$conf["allowRepeat"],字串,預設為"true",允許重複的結果;若為"false"則不會出現重複的元素內容.
 		$conf["arrays::mergeArray"]["allowRepeat"]="false";
 		$mergeArray=arrays::mergeArray($conf["arrays::mergeArray"]);
 		unset($conf["arrays::mergeArray"]);

Subversion Repositories php-qbpwcf

(root)/trunk/usr/lib64/qbpwcf/cmd.php – Rev 162 → 165