首页 > 代码库 > shell脚本自动加黑恶意攻击IP
shell脚本自动加黑恶意攻击IP
shell脚本自动加黑恶意攻击IP
系统环境:Centos 6.5 X64
如果我们对所有用户开放了SSH 22端口,那么我们就可以在/var/log/secure文件里查看,这里面全是恶意攻击的IP ,那么我们又该如何拒绝这些IP在下次攻击时直接把他拉黑,封掉呢? 或者这个IP再试图登陆4次或7次我就把他拒绝了,把他这个IP永久的封掉呢?这个时候我们就可以用这下面这个脚本来实现。
[root@host ssh]# vi /etc/ssh/blocksship
#!/bin/bash
#auto drop ssh failed IP address
#by authors evanli 2017-6-13
SEC_FILE=/var/log/failed.txt
ip_regex="[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}"
grep -r "Failed password" /var/log/secure > /var/log/failed.txt
IP_ADDR=`tail -n 100 /var/log/failed.txt |grep "Failed password"| egrep -o $ip_regex | sort -nr | uniq -c | awk ‘$1>=7 {print $2}‘`
IPTABLES_CONF=/etc/sysconfig/iptables
for i in `echo $IP_ADDR`
do
cat $IPTABLES_CONF |grep $i >/dev/null
if
[ $? -ne 0 ];then
sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF
else
echo "This is $i is exist in iptables,please exit ....."
fi
done
脚本说明
一、先生成带有关键字“Failed password”的文件/var/log/failed.txt
二、再查找failed.txt文件中出现次数大于7的IP地址。
三、awk ‘$1>=7 表示匹配文件中出数 次数大于等7的IP,才加入黑名单。此数字7可按自己需要更改。
四、判断iptables配置文件里是否存在已拒绝的ip,如果不存在,就不再添加相应条目,如果存在就显示“This is IP is exist in iptables,please exit .....”
五、sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF
表示在iptables文件的第5行之后,新加入一行DROP策略。请一定要根据自己iptables文件,来选择在第几行插入新的DROP策略。
给执行权限,并执行
[root@host ssh]# chmox +x /etc/ssh/blocksship
[root@host ssh]# /etc/ssh/blocksship
执行后,查看iptables文件是否正常。如没问题,重起服务。
[root@host ssh]# vi /etc/sysconfig/iptables
[root@host ssh]# service iptables restart
添加到排程任务,每1小时执行一次
[root@host postfix]# vi /etc/crontab
0 */1 * * * root /etc/ssh/blocksship
以下是单条命令分开执行后的效果
生成带有关键字“Failed password”的文件
[root@host ssh]# grep -r "Failed password" /var/log/secure > /var/log/failed.txt
显示failed.txt文件第11列信息,即IP地址
[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk ‘{print $11}‘
62.145.211.15
62.145.211.15
62.145.211.15
62.145.211.15
219.132.35.82
62.145.211.15
62.145.211.15
62.145.211.15
62.145.211.15
62.145.211.15
62.145.211.15
62.145.211.15
62.145.211.15
直接用命令统计出某个IP试图登陆的次数
[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk ‘{print $11}‘|sort|uniq -c |sort -nr
12 62.145.211.15
1 219.132.35.82
12表示该IP出现了12次
显示大于等7次的IP
[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk ‘{print $11}‘|sort|uniq -c |sort -nr | awk ‘$1>=7 {print $2}‘
62.145.211.15
参考文章
http://kangh.iteye.com/blog/2304836
测试成功于2017.6.13日,evan.li
本文出自 “虚拟化应用” 博客,请务必保留此出处http://liwenhn.blog.51cto.com/854522/1935130
shell脚本自动加黑恶意攻击IP