最近公司的服务器受到了大量的请求攻击,对方不断的请求访问的web网站。占用服务器宽带,导致普通用户无法访问。
头痛,于是研究了一天,利用python写了一个脚本,通过nginx访问日志提取大量请求的ip,然后加入黑名单,禁止访问。
具体代码如下:
代码还有很多优化的地方,后续慢慢优化,基本功能已经实现。
# -*- coding: utf-8 -*-
import os
import signal
import subprocess
import time
from collections import Counter
logFile1 = "http-2018-08-21-access.log"
logFile2 = 'https-2018-08-21-access.log'
# 日志文件地址
#日志文件一般是按天产生,则通过在程序中判断文件的产生日期与当前时间,更换监控的日志文件
#程序只是简单的示例一下,监控test1.log 10秒,转向监控test2.log
#其实可以多线程操作,但是最近没眼看多线程方面的内容,后续增加
def monitorLog(logFile):
print '监控的日志文件 是%s' % logFile
# 程序运行10秒,监控另一个日志
#定义程序退出时间
stoptime = time.strftime('%Y-%m-%d %H:%M:%S', time.localtime(time.time() + 20))
#执行linux命令获取访问日志
popen = subprocess.Popen('tail -f ' + logFile, stdout=subprocess.PIPE, stderr=subprocess.PIPE, shell=True)
pid = popen.pid
print('Popen.pid:' + str(pid))
#新建一个空列表存访客ip数据
ips = []
while True:
line = popen.stdout.readline().strip()
# 判断内容是否为空
if line:
ip = line.split(' ')[0]
# print(ip)
# 把ip添加到列表中
ips.append(ip)
# 统计20秒钟列表中ip个个数,字典格式
conut = Counter(ips)
# 以为ip次数最多的排列表第一个,取列表第一条数据,
print(conut.items()[0][0]+'----'+str(conut.items()[0][1]))
# 判断如果有大于50次的请求,则把ip写入黑名单
if conut.items()[0][1] >50:
with open('/data/nginx/sites-enabled/blocklist.conf','a+') as f :
f.write('deny '+conut.items()[0][0]+';'+'\n')
os.system('docker exec -it nginx nginx -s reload')
# 当前时间
thistime = time.strftime('%Y-%m-%d %H:%M:%S', time.localtime(time.time()))
if thistime >= stoptime:
# 终止子进程
popen.kill()
print '杀死subprocess'
break
time.sleep(1)
monitorLog(logFile1)
# monitorLog(logFile2)
if __name__ == '__main__':
monitorLog(logFile1)