如何禁掉扫描机器的 IP(通过 ssh 认证记录分析)

刚写了一个分析 /var/log/secure 日志,自动阻断入侵者 IP 的 script
适用系统:Linux
有不足之处请大家指点
#! /bin/bash
# 获取前 1 分钟内的 secure 记录,统计 ssh 认证失败的 IP 和其 失败次数
SCANNER=`grep "/`date /"+ %e %H:%M/" -d /"-1min/"/`" /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $1"="$2;}'`
for i in $SCANNER
do
      # 取认证失败次数
      NUM=`echo $i|awk -F= '{print $1}'`
      # 取其 IP 地址
      IP=`echo $i|awk -F= '{print $2}'`
      # 若其在失败次数超过 5 次且之前没有被阻断过,那么添加一条策略将其阻断,并记录日志
      if [ $NUM -gt 5 ] && [ -z "`iptables -vnL INPUT|grep $IP`" ]
      then
              iptables -I INPUT -s $IP -j DROP
              echo "`date` $IP($NUM)" >;>; /var/log/scanner.log
      fi
done执行方式
用 crond 来运行,1 分钟运行 1 次
运行效果
QUOTE: [root@platinum root]# iptables -vnL INPUT
Chain INPUT (policy DROP 548 packets, 67283 bytes)
pkts bytes target     prot opt in     out     source               destination
101 10240 DROP       all  --  *      *       211.248.100.100          0.0.0.0/0
      state NEW,RELATED,ESTABLISHED
[root@platinum root]#
QUOTE: [root@platinum root]# cat /var/log/scanner.log
Sat Jul 16 10:27:22 CST 2005 211.248.100.100(15)
[root@platinum root]#
这个script 仅仅是一个研究,对于脆弱的sshd 还是很有一定帮助的。对于实际生产系统,可以会用专业的防火墙去处理,这些方法只是给没有对 TCP/IP 编程经验的“菜鸟”们用的。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值