第一个:
#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/sbin/black.list
for i in `cat /usr/local/sbin/black.list`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ ${NUM} -gt 9 ]; then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -ne 0 ];then
echo "sshd:$IP:deny" >> /etc/hosts.deny
fi
fi
done
第二个:
#!/bin/bash
# =================================
# 屏蔽每小时SSH暴力破解超过10次的ip
# =================================
DATE=$(date +"%a %b %e %H")
# %星期 %月 %天 %时 其中,星期、月都是英文简写显示;用于匹配lastb
# %e:单数字时显示7;而%d显示07
ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
# lastb:上次登录失败的记录
# grep "$DATE":匹配当前分钟内的ssh失败记录
# {for(i in a)if(a[i]>10)print i}:小括号表示判断条件
echo
echo "以下ip每小时超过10次登陆失败"
echo
for IP in $ABNORMAL_IP; do
# 查看系统黑名单中是否已存在需要屏蔽的ip
insert_ip=`grep "$IP" /etc/hosts.deny | wc -l`
if [ $insert_ip -le 0 ] ; then
echo "屏蔽IP:$IP"
echo "sshd:${IP}:deny" >> /etc/hosts.deny
else
echo "IP:$IP 已存在系统黑名单中"
fi
done