我的网站被攻击了，运维大佬给了我自动封禁ip的脚本。

我的网站被攻击了，发现友圈最近出现这种情况的还不少，真是神奇了，这事也能扎堆发生。

分享出来给大家，万一以后用得着呢~

故事背景

我的一个小网站最近总是收到云监控报警，一个部署在4核8G单机上的小网站。

查了log发现，我是被流量攻击了。

我招谁惹谁了呀，烦死了。昨天半夜11点收到报警短信，搞到了半夜12点，太耽误我睡觉了。

调研了一下云平台的安全服务，还挺贵，弃疗了。

我还是自己写吧，不是为了提升技术水平，单纯的为了省钱！

实现思路

首先，我的小网站访问量不高，如果某位大哥一天访问超过10次我就觉得有鬼了。

除非你是在爬我的数据~

还是你就是吃饱撑的！

有些ip定位是酱婶的，你可控制住自己，别太自由喽~

综上分析，我的实现思路如下：

1.监测log日志，分析访问ip。
2.每天ip的访问次数超过100就果断封掉。（为了避免误伤，我暂时把这个阈值设置成100，后面看情况动态调整。）

功能拆解

1.编写脚本，按日期拆分access.log（之前犯懒没做日志拆分，只是定时删除了访问日志）
2.编写定时任务，每天0点拆分访问日志
3.编写脚本，分析access.log访问日志，封禁当天访问次数超过100的ip
4.编写定时任务，每10分钟执行一次封禁ip脚本

思路是如此的清晰，奈何我并不擅长编写shell脚本，于是请教了群里的大佬，最终的实现如下：

具体实现

1. 日志拆分脚本

已经清楚的写了注释

其中LOG_PATH和PID换成你自己的路径

# 每天0点执行日志按日期分隔脚本 0 0 * * * cd /www/Home/ && ./log_cut.sh
#!/bin/bash
#此脚本⽤于⾃动分割Nginx的⽇志，包括access.log
#每天00:00执⾏此脚本将前⼀天的access.log重命名为access-xxxx-xx-xx.log格式，并重新打开⽇志⽂件
#Nginx⽇志⽂件所在⽬录 todo 换成你自己的
LOG_PATH=/data/logs/nginx/
#获取昨天的⽇期
YESTERDAY=$(date -d "yesterday" +%Y-%m-%d)
#获取pid⽂件路径 todo 换成你自己的
PID=/var/run/nginx.pid
#分割⽇志
mv ${LOG_PATH}access.log ${LOG_PATH}access-${YESTERDAY}.log
#向Nginx主进程发送USR1信号，重新打开⽇志⽂件
kill -USR1 `cat ${PID}` 

2. 编写定时任务

# 每天0点执行日志按日期分隔脚本 
0 0 * * * cd /www/Home/ && ./log_cut.sh 

• # 代表注释
• && 表示将两个命令连接在一起，前面的先执行，后面的再执行
• 如果你不知道crontab的定时任务怎么编写，强烈建议你使用这个工具： crontab时间计算

使用效果如下：

3. 编写封禁ip脚本

注释写的很清楚了：

• logdir替换成你自己的地址
• /tmp/nginx_deny.log 也可以设置成你自己的地址，或者用这个地址也可以。

# 每十分钟执行一次封禁ip脚本 */10 * * * * cd /www/Home/ && ./blackip.sh
#!/bin/bash
logdir=/data/logs/nginx/access.log #nginx访问日志文件路径
port=443
#循环遍历日志文件取出访问量大于100的ip（忽略自己本地ip）
for drop_ip in $(cat $logdir | grep -v '127.0.0.1' | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if ($1>100) print $2}'); do# 避免重复添加num=$(grep ${drop_ip} /tmp/nginx_deny.log | wc -l)if [ $num -ge 1 ]; thencontinuefi# shellcheck disable=SC2154iptables -I INPUT -p tcp --dport ${port} -s ${drop_ip} -j DROPecho ">>>>> $(date '+%Y-%m-%d %H%M%S') - 发现攻击源地址 ->${drop_ip} " >>/tmp/nginx_deny.log #记录log
done 

4. 编写封禁ip定时任务

# 每十分钟执行一次封禁ip脚本 
*/10 * * * * cd /www/Home/ && ./blackip.sh 

封禁效果

好了，妈妈再也不用担心我被莫名其妙的攻击了。

思考

如果自己人的ip不小心被封了怎么办呢？

别担心，可以用下面的命令：

#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP

#一键清空所有规则
iptables -F 

附上大佬给的iptablse常用命令，先收藏，慢慢学。

iptablse常用命令

1.清除iptables（常用）

iptables -F 

2. 备份iptables（常用）

iptables-save > iptables.txt 

3. 导入iptables（常用）

iptables-restore < iptables.txt 

4. 机器重启自动生效（常用）

service iptables save 

5. 清空某条规则：

iptables -t filter -D INPUT -s 1.2.3.4 -j DROP 

6. 禁止某个ip（下面用$ip表示）访问本机：

iptables -I INPUT -s $ip -j DROP 

7. 禁止某个ip段（下面用ip/ip/ip/mask表示，其中$mask是掩码）访问本机：

iptables -I INPUT -s $ip/$mask -j DROP 

8. 禁止本机访问某个ip（下面用$ip表示）：

iptables -A OUTPUT -d $ip -j DROP 

9. 禁止某个ip（下面用$ip表示）访问本机的80端口的tcp服务：

iptables -I INPUT -p tcp –dport 80 -s $ip -j DROP 

10. 禁止所有ip访问本机的80端口的tcp服务：

iptables -A INPUT -p tcp --dport 80 -j DROP 

11. 禁止所有ip访问本机的所有端口：

iptables -A INPUT -j DROP 

12. 禁止除了某个ip（下面用$ip表示）之外其他ip都无法访问本机的3306端口（常用）：

（1）首先 禁止所有

iptables -I INPUT -p tcp --dport 3306 -j DROP 

（2）然后 开放个别

iptables -I INPUT -s $ip -p tcp --dport 3306 -j ACCEPT 

总结

我之前的思路是配置nginx的黑名单，每次填加新的黑名单之后，还要重启Nginx。

大佬告诉我，不用这么麻烦：直接用Linux的iptables防火墙，既高效又简单。连403都不要那些坏人看到！

如果你也碰到类似的问题，欢迎复刻我的经验。

如果你有更好的方案，欢迎赐教我这个“被攻击的萌新”。

一起学习

掘金已经上线了私信功能，欢迎在掘金平台私信我。 如果没有及时回复的话也可以通过以下方式联系我：

公众号：程序员升级打怪之旅

微信号：wangzhongyang1993

B站视频：王中阳Go

本文正在参加「金石计划 . 瓜分6万现金大奖」## 最后
从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

扫码领取