首页 > 代码库 > shell脚本自动加黑恶意攻击IP

shell脚本自动加黑恶意攻击IP

shell脚本自动加黑恶意攻击IP


系统环境:Centos 6.5 X64


如果我们对所有用户开放了SSH 22端口,那么我们就可以在/var/log/secure文件里查看,这里面全是恶意攻击的IP ,那么我们又该如何拒绝这些IP在下次攻击时直接把他拉黑,封掉呢? 或者这个IP再试图登陆4次或7次我就把他拒绝了,把他这个IP永久的封掉呢?这个时候我们就可以用这下面这个脚本来实现。


[root@host ssh]# vi /etc/ssh/blocksship


#!/bin/bash

#auto drop ssh failed IP address

#by authors evanli 2017-6-13

SEC_FILE=/var/log/failed.txt

ip_regex="[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}"

grep -r "Failed password" /var/log/secure > /var/log/failed.txt

IP_ADDR=`tail -n 100 /var/log/failed.txt |grep "Failed password"| egrep -o  $ip_regex | sort -nr | uniq -c | awk ‘$1>=7 {print $2}‘`

IPTABLES_CONF=/etc/sysconfig/iptables

for i in `echo $IP_ADDR`

do

        cat $IPTABLES_CONF |grep $i >/dev/null

if

        [ $? -ne 0 ];then

        sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF

else

        echo "This is $i is exist in iptables,please exit ....."

fi

done



脚本说明

一、先生成带有关键字“Failed password”的文件/var/log/failed.txt

二、再查找failed.txt文件中出现次数大于7的IP地址。

三、awk ‘$1>=7 表示匹配文件中出数 次数大于等7的IP,才加入黑名单。此数字7可按自己需要更改

四、判断iptables配置文件里是否存在已拒绝的ip,如果不存在,就不再添加相应条目,如果存在就显示“This is IP is exist in iptables,please exit .....”

五、sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF

表示在iptables文件的第5行之后,新加入一行DROP策略。请一定要根据自己iptables文件,来选择在第几行插入新的DROP策略。



给执行权限,并执行

[root@host ssh]# chmox +x /etc/ssh/blocksship

[root@host ssh]# /etc/ssh/blocksship


执行后,查看iptables文件是否正常。如没问题,重起服务。

[root@host ssh]# vi /etc/sysconfig/iptables

[root@host ssh]# service iptables restart 


添加到排程任务,每1小时执行一次

[root@host postfix]# vi /etc/crontab

0 */1 * * * root /etc/ssh/blocksship 



以下是单条命令分开执行后的效果


生成带有关键字“Failed password”的文件

[root@host ssh]# grep -r "Failed password" /var/log/secure > /var/log/failed.txt


显示failed.txt文件第11列信息,即IP地址

[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk ‘{print $11}‘

62.145.211.15

62.145.211.15

62.145.211.15

62.145.211.15

219.132.35.82

62.145.211.15

62.145.211.15

62.145.211.15

62.145.211.15

62.145.211.15

62.145.211.15

62.145.211.15

62.145.211.15



直接用命令统计出某个IP试图登陆的次数 

[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk ‘{print $11}‘|sort|uniq -c |sort -nr 

     12 62.145.211.15

      1 219.132.35.82

12表示该IP出现了12次


显示大于等7次的IP

[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk ‘{print $11}‘|sort|uniq -c |sort -nr | awk ‘$1>=7 {print $2}‘

62.145.211.15



参考文章

http://kangh.iteye.com/blog/2304836


测试成功于2017.6.13日,evan.li


本文出自 “虚拟化应用” 博客,请务必保留此出处http://liwenhn.blog.51cto.com/854522/1935130

shell脚本自动加黑恶意攻击IP