通过脚本自动屏蔽非法IP
通过脚本自动屏蔽非法IP
最近很是奇怪,我查看我的服务器日志,居然发现有来自全世界[1]的很多人在锲而不舍的试图猜解我的系统密码(遗憾的是还没人可以成功入侵)。我是穷尽我吃奶的智商也想不通,就这么一个破机器(无屏的IBM T23,开博说明里就已经明确说了),上面只是跑了一个可有可无的Blog程序而已,咋就这么多人感兴趣?莫不是都把我这里当成了入侵中央银行的系统入口?我倒是希望这是那个入口哦! +ctJV>
研究了一下,觉得通过对日志文件进行判断,识别出扫描者的IP地址,然后再对其进行理,这也许是一种比较不错的简单的解决办法。经过实践,证明这是可行的。脚本代码如下:
KidbcZ
#! /bin/bash QB#_Wn
.>NPgdI
SCANIP=`grep "\`date \"+ %d %H:%M\" -d \"-1min\"\`" /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $1"="$2;}'` 11B8 LX
kudXwj
for i in $SCANIP x{3q'2
do !=?Q>mz
NUMBER=`echo $i|awk -F= '{print $1}'` 6SEq 2
SCANIP=`echo $i|awk -F= '{print $2}'` ?I7%ueFY
echo $NUMBER _+d*ljP)l3
echo $SCANIP k<
if [ $NUMBER -gt 10 ] && [ -z "`iptables -vnL INPUT|grep $SCANIP`" ] 4S*dNYc
then _CGED{b@
iptables -I INPUT -s $SCANIP -m state --state NEW,RELATED,ESTABLISHED -j DROP <X ([VZ
echo "`date` $SCANIP($NUMBER)" >> /var/log/scanip.log s ?|Hw|j
fi "edA
done G.>Ul)O:a
Y,{pG]B$w
这个世界终于清静了!有遇到类似情况的朋友可以一试,我的系统是Linux,防火墙是用的Iptables。 y':65NMda
目录 返回
首页