shell脚本自动加黑恶意攻击IP

前端之家收集整理的这篇文章主要介绍了shell脚本自动加黑恶意攻击IP前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

shell脚本自动加黑恶意攻击IP


系统环境:Centos 6.5 X64


如果我们对所有用户开放了SSH 22端口,那么我们就可以在/var/log/secure文件里查看,这里面全是恶意攻击的IP,那么我们又该如何拒绝这些IP在下次攻击时直接把他拉黑,封掉呢?或者这个IP再试图登陆4次或7次我就把他拒绝了,把他这个IP永久的封掉呢?这个时候我们就可以用这下面这个脚本来实现。


[root@host ssh]#vi /etc/ssh/blocksship


#!/bin/bash

#auto drop ssh Failed IP address

#by authors evanli 2017-6-13

SEC_FILE=/var/log/Failed.txt

ip_regex="[[:digit:]]{1,3}\.[[:digit:]]{1,3}"

grep -r "Failed password" /var/log/secure > /var/log/Failed.txt

IP_ADDR=`tail -n 100 /var/log/Failed.txt |grep "Failed password"| egrep -o $ip_regex | sort -nr | uniq -c | awk '$1>=7 {print $2}'`

IPTABLES_CONF=/etc/sysconfig/iptables

for i in `echo $IP_ADDR`

do

cat $IPTABLES_CONF |grep $i >/dev/null

if

[ $? -ne 0 ];then

sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF

else

echo "This is $i is exist in iptables,please exit ....."

fi

done



脚本说明

一、先生成带有关键字“Failed password”的文件/var/log/Failed.txt

二、再查找Failed.txt文件中出现次数大于7的IP地址。

三、awk '$1>=7 表示匹配文件中出数 次数大于等7的IP,才加入黑名单。此数字7可按自己需要更改

四、判断iptables配置文件里是否存在已拒绝的ip,如果不存在,就不再添加相应条目,如果存在就显示“This is IP is exist in iptables,please exit .....”

五、sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF

表示在iptables文件的第5行之后,新加入一行DROP策略。请一定要根据自己iptables文件,来选择在第几行插入新的DROP策略。



给执行权限,并执行

[root@host ssh]# chmox +x/etc/ssh/blocksship

[root@host ssh]#/etc/ssh/blocksship


执行后,查看iptables文件是否正常。如没问题,重起服务。

[root@host ssh]# vi /etc/sysconfig/iptables

[root@host ssh]#service iptablesrestart


添加到排程任务,每1小时执行一次

[root@host postfix]#vi /etc/crontab

0 */1 * * * root /etc/ssh/blocksship



以下是单条命令分开执行后的效果


生成带有关键字“Failed password”的文件

[root@host ssh]#grep -r "Failed password" /var/log/secure > /var/log/Failed.txt


显示Failed.txt文件第11列信息,即IP地址

[root@host ssh]# tail -n 100 /var/log/Failed.txt |grep "Failed password"| awk '{print $11}'

62.145.211.15

62.145.211.15

219.132.35.82

62.145.211.15



直接用命令统计出某个IP试图登陆的次数

[root@host ssh]# tail -n 100 /var/log/Failed.txt |grep "Failed password"| awk '{print $11}'|sort|uniq -c |sort -nr

1262.145.211.15

1 219.132.35.82

12表示该IP出现了12次


显示大于等7次的IP

[root@host ssh]# tail -n 100 /var/log/Failed.txt |grep "Failed password"| awk '{print $11}'|sort|uniq -c |sort -nr | awk '$1>=7 {print $2}'

62.145.211.15



脚本下载

http://down.51cto.com/data/2317324


参考文章

http://kangh.iteye.com/blog/2304836


测试成功于2017.6.13日,evan.li

猜你在找的Bash相关文章