根据nginx访问日志,对非法请求URL 自动设置iptables软防火墙 封禁IP脚本

已于 2024-04-01 11:55:35 修改
阅读量342 收藏
点赞数 9
分类专栏: bash脚本 文章标签: bash linux 运维 服务器
于 2024-04-01 10:50:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36667924/article/details/137224242
版权

使用环境:

         通过elk等工具,发现web服务器经常受到公网的非法请求(如下图),所以增加自动封禁脚本。

        此方式是在被请求成功后根据日志内容进行关键字筛选 然后封禁; 如果有 在被请求前 进行阻止的方式 可以告知我,感谢!        

自动封禁脚本内容:

#!/bin/bash
##过滤nginx日志,且日志首个字段为来源IP地址
##使用iptables封禁80 443端口
##建议配合nginx日志每天切割脚本一起使用
##建议在iptables先添加完白名单后,再执行本脚本,方式误封无法访问!
##将脚本放置crontab中,每几分钟循环执行



#时间格式 2024-03-15 10:09:06
shiJian=`date "+%Y-%m-%d %H:%M:%S"`
riQi=`date "+%Y-%m-%d"`

#nginx日志目录 每条日志首内容为来源IP
logDir='/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/'
logFile='access.log'

#执行日志
zxlogDir='/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/'
mkdir -p ${zxlogDir}
##################################本次执行过滤恶意访问IP###################################
#过滤关键字数组
gjzshuzu=(
        passwd
        password
        \.php
        \/etc\/
        \.sql
        \/bin\/
        \.jsp
        \.tar\.gz
        )

for gjz in "${gjzshuzu[@]}"
 do
  #循环执行过滤关键字 将存在恶意关键字请求的 IP追加到 临时1文件
  grep "${gjz}" ${logDir}${logFile} |awk '{printf $1 "\n"}'|sort |uniq >> ${zxlogDir}linshi1.txt
 done

#排序并去重 临时1文件(本次运行初步过滤的IP),覆盖到临时2文件(本次运行去重的恶意IP);删除临时1文件
sort ${zxlogDir}linshi1.txt |uniq > ${zxlogDir}linshi2.txt
rm -rf ${zxlogDir}linshi1.txt
#将时间 和 临时2文件 记录到永久记录文件
mkdir -p ${zxlogDir}yongjiu/
echo "###${shiJian}" >> ${zxlogDir}yongjiu/${riQi}.txt
echo "`cat ${zxlogDir}linshi2.txt`" >> ${zxlogDir}yongjiu/${riQi}.txt


##################################解封历史限制###################################
#设置解封哪天的恶意IP
lastdate=`date +%Y-%m-%d --date="-5 day"`
jiefengFile=${zxlogDir}yongjiu/${lastdate}_5.txt
#判断文件 存在且非空
if [ -s "${jiefengFile}" ]
 then
  #cat ${jiefengFile} | while read jfiptime
  for jfiptime in `cat ${jiefengFile}`
   do
    #将每个ip 时间段输出到一个临时文件,偌不执行此步骤会报错awk: cannot open 141.98.7.67>2024-03-27_15:20:02
    echo $jfiptime > ${zxlogDir}linshi3.txt
    #循环执行 解封恶意IP地址
    jfip=`awk -F ">" '{printf $1 "\n"}' ${zxlogDir}linshi3.txt`
    jftime=`awk -F ">" '{printf $2 "\n"}' ${zxlogDir}linshi3.txt`
    /usr/sbin/iptables -D INPUT -s ${jfip} -p tcp -m multiport --dport 80,443 -j DROP -m comment --comment "nginx日志检测恶意访问IP ${jftime}"
    echo "###${jfip} ${shiJian} del封禁" >> ${zxlogDir}yongjiu/${riQi}.txt
    rm -rf ${zxlogDir}linshi3.txt
   done

 else
  echo "###${jiefengFile}文件不存在,或者文件为空,未删除封禁" >> ${zxlogDir}yongjiu/${riQi}.txt
fi


##################################新增封禁###################################
#过滤 排序 并去重 当天永久文件,覆盖输出为永久文件2(当天恶意IP 去重)
egrep -v "###|add|del|^$|禁" ${zxlogDir}yongjiu/${riQi}.txt |sort | uniq > ${zxlogDir}yongjiu/${riQi}_2.txt

#过滤 防火墙规则 是否已存在封禁中,输出至永久文件3(当天防火墙存在封禁记录 去重)
/usr/sbin/iptables -nL|grep "443"|grep DROP|grep "nginx日志检测恶意访问IP" |awk '{printf $4 "\n"}'|cut -d "/" -f1 |sort|uniq >${zxlogDir}yongjiu/${riQi}_3.txt

#比对 临时2文件(本次运行恶意IP去重版)和 当天永久文件3(当天防火墙存在记录)的差异 ,覆盖至永久文件4(对比差异文件)
duiBi=`diff ${zxlogDir}linshi2.txt ${zxlogDir}yongjiu/${riQi}_3.txt |grep '<'| awk '{printf $2 "\n"}'`
 echo ${duiBi} > ${zxlogDir}yongjiu/${riQi}_4.txt
 sed -i "s/ /\n/g" ${zxlogDir}yongjiu/${riQi}_4.txt

#判断,对比的内容,是否有新增恶意IP
if [ -n "${duiBi}" ]
 then
  cat ${zxlogDir}yongjiu/${riQi}_4.txt | while read ip
   do
    #循环执行 封堵本次查询新产生的 恶意IP地址
    fengjintime=`date "+%Y-%m-%d_%H:%M:%S"`
    /usr/sbin/iptables -A INPUT -s ${ip} -p tcp -m multiport --dport 80,443 -j DROP -m comment --comment "nginx日志检测恶意访问IP ${fengjintime}"
     echo "${ip} ${fengjintime} add封禁">> ${zxlogDir}yongjiu/${riQi}.txt
     #永久5文件  记录当天封禁的IP 时间,设置>为分隔符,若不设置则删除封禁的循环会以空格执行
     echo "${ip}>${fengjintime}">> ${zxlogDir}yongjiu/${riQi}_5.txt
   done

 else
  echo "###${shiJian} no新增恶意IP" >> ${zxlogDir}yongjiu/${riQi}.txt
fi


##################################删除200天未修改的文件###################################
find ${zxlogDir} -type f -mtime +200  -exec rm -rf {} \;

脚本介绍与注意事项:

        1、访问日志文件 不宜过大,否则影响过滤效率。建议使用其他脚本等方式每天切割日志

        2、本环境使用为nginx,且access.log日志的第一个字段为IP

        3、请自行更改 web日志目录 和 本脚本执行日志目录  XXXXXXXXXXXX内容,/开头结尾。

        4、请根据业务的实际请求,自行修改封禁关键字,防止误封。

        5、执行前请先执行白名单放行策略,再执行本脚本,防止误封。

        6、本脚本涉及iptables命令,需要放置在root用户中 crontab 定时任务中执行。

        7、本脚本会产生如下 执行日志:

                linshi1.txt   本次执行 根据封禁关键字,过滤的IP  (后续自动删除)

                linshi2.txt   本次执行 排序去重后的linshi1.txt文件,违规IP,并追加到yongjiu/${riQi}.txt  (自动覆盖)

                linshi3.txt  本次执行 拆分封禁IP 封禁时间(yongjiu/${riQi}_5.txt) 后的每条记录 (后续自动删除)

                yongjiu/${riQi}.txt  记录当天 执行结果内容,和违规IP   (每次追加)

                yongjiu/${riQi}_2.txt  记录当天去重后的违规IP  (自动覆盖)

                yongjiu/${riQi}_3.txt  记录当天防火墙存在的封禁IP (自动覆盖)

                yongjiu/${riQi}_4.txt  对linshi2.txt和_3文件比较,仅保留本次新的违规IP (自动覆盖)

                yongjiu/${riQi}_5.txt  记录当天封禁的IP与封禁时间文件 (每次追加)

测试效果:

出示小白
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安装 Nginx
06-20
网上找了许久,下载了几个文档,然而都不能搭建好,这是我搭建好的,里面有配置文件:nginx.conf 用SSH Secure Shell远程终端将nginx-1.8.1.tar.gz以及依赖包openssl-1.0.1e-48.el6.x86_64.rpm、pcre-7.8-7.el6.x86_64.rpm、zlib-1.2.3-29.el6.x86_64.rpm上传到服务器目录/opt/ESB_InstallFiles/Nginx/下。 先安装依赖包: root@localhost Nginx]# yum install gcc-++ [root@localhost Nginx]# yum -y install zlib zlib-devel openssl openssl--devel pcre pcre-devel [root@localhost Nginx]# cd /usr/local/ [root@db local]# tar -zxv -f nginx-1.8.1.tar.gz [root@db local]# cd /usr/local/nginx/ [root@db nginx]# ./configure --prefix=/usr/local/nginx [root@db nginx-1.8.1]# make [root@db nginx-1.8.1]# make install 开放防火墙的这个端口 vi /etc/sysconfig/iptables 添加:-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 重启iptables service iptables restart 开放一个范围的端口22到80 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22:80 -j ACCEPT [root@db nginx-1.8.1] ./configure && make && make install [root@name Nginx]# rpm –ivh openssl-1.0.1e-48.el6.x86_64.rpm [root@name Nginx]# rpm –ivh pcre-7.8-7.el6.x86_64.rpm [root@name Nginx]# rpm –ivh zlib-1.2.3-29.el6.x86_64.rpm 再安装Nginx: [root@name Nginx]tar zxvf nginx-1.8.1.tar.gz [root@name Nginx] cd nginx-1.8.1 [root@db nginx-1.8.1] ./configure && make && make install 启动Nginx: 启动:/usr/local/nginx/sbin/nginx 停止/重新加载:/usr/local/nginx/sbin/nginx -s stop(quit、reload) 验证配置文件是否合法:/usr/local/nginx/sbin/nginx -t 命令帮助:/usr/local/nginx/sbin/nginx –h
2024最新版聚合支付彩虹易支付PHP源码(1)
2301_77110907的博客
04-26 527
通过这个平台,您可以方便地接入多种支付方式,包括支付宝当面付、QQ钱包、财付通、微信扫码支付和个体商户聚合收款码等。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?15、讲述一下LVS三种模式的工作过程?
根据web访问日志,封请求量异常的IP,如IP在半小 时后恢复正常则解除封
最新发布
eagle89的专栏
05-14 497
根据web访问日志,封请求量异常的IP,如IP在半小 时后恢复正常则解除封
Nginx+iptables屏蔽访问Web页面过于频繁的IP(防DDOS,恶意访问,采集器)
09-30
通过分析nginx日志来过滤出访问过于频繁的IP地址,然后添加到nginx的blockip.conf,并重启nginx.
Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
无糖可乐没有灵魂
07-28 1243
【代码】Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
超详细的iptables脚本
m0_55877125的博客
05-24 358
这个脚本在比较详细地介绍了如何在 iptables设置和应用各种规则,包括默认的策略、回环接口、已建立相关连接、HTTP/HTTPS/SSH等协议和端口、SYN Flood攻击、本地网络、邮件服务、DNS服务、FTP服务、MySQL服务、NTP、SNMP和ICMP协议包等。大家可以结合自己的实际需求进行修改和使用。
如何给Nginx配置访问IP白名单
热门推荐
lxw1844912514的博客
09-26 1万+
如果想增加允许访问IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问nginxIP
使用Nginx实现根据 IP 匹配指定 URL
09-30
最近的一个项目,需要特定的IP访问某专题页面的时候跳转到网站首页,思考了下,直接使用NGINX实现,分享给大家。
linux下shell处理nginx日志自动生成ip黑名单
01-20
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并写入文件 #!/bin/bash data=`date +%Y-%m-%d` #统计访问量最高的前10ip awk '{print $1}' '/PATH/'$data'.log' | sort -n |uniq -c | sort -rn | ...
Nginx如何封IPIP段的实现
09-29
主要介绍了Nginx如何封IPIP段的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx实现根据URL转发请求的实战经历
09-29
在本文中,我们将深入探讨如何利用Nginx实现根据URL转发请求的实战经验。在分布式系统部署中,有时我们需要将外部请求定向到内部网络中的不同服务,以便提供统一的入口并优化流量管理。在这种情况下,Nginx作为反向...
shell脚本分析 nginx日志访问次数最多及最耗时的页面(慢查询)
09-15
本文将介绍一个用于分析`nginx`日志的`shell`脚本,该脚本能够帮助我们找出访问次数最多和最耗时的页面,从而针对性地进行优化。这个脚本类似于`MySQL`中的慢查询日志分析,但针对的是Web页面的慢访问情况。 首先,...
【linux-网络】4层转发方法-iptable以及nginx
zerotoall的博客
08-02 581
【linux-网络】4层转发方法-iptable以及nginx
超牛逼!100 个开箱即用的 Shell 脚本,拿好了~
民工哥的博客
04-30 3482
点击下方公众号「关注」和「星标」回复“1024”获取独家整理的学习资料!shell脚本是帮助程序员和系统管理员完成费时费力的枯燥工作的利器,是与计算机交互并管理文件和系统操作的有效方式。区...
我是如何通过Nginx日志实时封风险IP
xnxqwzy的博客
12-28 947
本文分享了自动化采集、分析Nginx日志并实时封风险IP的方案及实践.日志采集方案.风险IP评估的简单方案.IP策略及方案.熟悉编程.熟悉常用Linux命令.了解Docker.爬虫、机器人、漏洞扫描等给网站造成了不必要的开销甚至带来风险, 不可忽视. 绝对安全很难做到, 但要尽量做到比别人安全.封是相对暴力的手段, 一定要把握好尺度, 出现误杀会导致网站流失用户.
nginx+iptables+ipset 封频繁访问web服务的恶意IP
AmbroseLe
04-29 1299
ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封大量IP的性能问题。如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可 )安装ipset。基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP脚本/data/iptables_ipset_deny.sh。~]# ipset del ipsetname 地址。用crontab定时启动脚本
【Linux 实操项目】基于iptables的SNAT、DNAT和Docker容器进行Nginx和MySQL服务的部署
Stephen_Daa的博客
02-07 530
【Linux 实操项目】基于iptables的SNAT、DNAT和Docker容器进行Nginx和MySQL服务的部署(保姆级超详细教程)
通过Nginx日志--检测异常访问ip进行封
小啊宇的博客
04-13 1197
Nginx日志格式 log_format json '{"@timestamp":"$time_iso8601",' '"clientip":"$remote_addr",' '"request":"$request",' '"http_user_agent":"$http_user_agent",' '"size":"$body_bytes
nginx设置指定URL只可固定IP访问
03-26
可以使用nginx的`allow`和`deny`模块限制特定IP地址访问指定URL。 具体步骤如下: 1. 在`/etc/nginx/nginx.conf`文件中,创建一个`http`块: ``` http { ... } ``` 2. 在`http`块中添加一个`geo`块,用于定义可以访问指定URLIP地址段。例如,下面的代码定义了IP地址段`10.0.0.0/8`和`192.168.0.0/16`可以访问`/secret`路径: ``` geo $restricted_ips { default no; 10.0.0.0/8 yes; 192.168.0.0/16 yes; } ``` 3. 在`http`块中添加一个`server`块,用于匹配要限制访问URL。例如,下面的代码限制了只有`$restricted_ips`中定义的IP地址段可以访问`/secret`路径: ``` server { listen 80; server_name example.com; location = /secret { deny all; allow $restricted_ips; } } ``` 现在,当`/secret`路径被访问时,只有`$restricted_ips`中定义的IP地址段可以成功访问,其他IP地址将被拒绝访问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值