通过脚本自动屏蔽非法IP(转http://bbs.5y6s.com/htm_data/21/0801/9559.html)

通过脚本自动屏蔽非法IP

http://www.bornin76.cn/?p=31 @y/!`Ziw  
@;7Ht Z`  
最近很是奇怪，我查看我的服务器日志，居然发现有来自全世界[1]的很多人在锲而不舍的试图猜解我的系统密码（遗憾的是还没人可以成功入侵）。我是穷尽我吃奶的智商也想不通，就这么一个破机器（无屏的IBM T23，开博说明里就已经明确说了），上面只是跑了一个可有可无的Blog程序而已，咋就这么多人感兴趣？莫不是都把我这里当成了入侵中央银行的系统入口？我倒是希望这是那个入口哦！ +c tJV>  
`RyH~4/;  
研究了一下，觉得通过对日志文件进行判断，识别出扫描者的IP地址，然后再对其进行处理，这样也许是一种比较不错的简单的解决办法。经过实践，证明这是可行的。脚本代码如下： "eIE5h  
KT0Pmpp5  
Kidbc Z  
#! /bin/bash QB#_Wn  
.>NPgd I  
SCANIP=`grep "/`date /"+ %d %H:%M/" -d /"-1min/"/`" /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $1"="$2;}'` 11B8 LX  
kudXwj  
for i in $SCANIP x{3q'2  
do !=?Q>mz  
NUMBER=`echo $i|awk -F= '{print $1}'` 6SEq 2  
SCANIP=`echo $i|awk -F= '{print $2}'` ?I7%ueFY  
echo $NUMBER _+d*ljP)l3  
echo $SCANIP k<  
if [ $NUMBER -gt 10 ] && [ -z "`iptables -vnL INPUT|grep $SCANIP`" ] 4S*dNYc  
then _CG ED{b@  
iptables -I INPUT -s $SCANIP -m state --state NEW,RELATED,ESTABLISHED -j DROP < X ([VZ  
echo "`date` $SCANIP($NUMBER)" >> /var/log/scanip.log s ?|Hw|j  
fi "ed A  
done G.>Ul)O:a  
Y, {pG]B$w  
这个世界终于清静了！有遇到类似情况的朋友可以一试，我的系统是Linux，防火墙是用的Iptables。 y':65NMda  
yw*| HT  
sv2XD}}  
------------------------------------------------------- uVa`2]NV r