shell实现将登录失败次数超过5次ip拉入黑名单,以防暴力破解

最新推荐文章于 2024-05-06 12:47:48 发布
最新推荐文章于 2024-05-06 12:47:48 发布
阅读量3.3k 收藏 6
点赞数 5
分类专栏: linux脚本实战系列 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38061373/article/details/124195701
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

公网环境非常恶劣,经常会遇见暴力破解的攻击手段,为了预防暴力破解,我们将写一个脚本,将登录失败五次以上的ip地址拉入黑名单,禁止其访问服务器,并发邮件通知管理员。

提示:以下是本篇文章正文内容,下面案例可供参考

一、服务器环境配置准备

centos7系统
禁用firewalld防火墙
开启iptables防火墙
配置邮箱

二、环境配置

1.禁用firewalld

代码如下(示例):

systemctl stop firewalld
systemctl disable firewalld

2.关闭selinux

代码如下(示例):

[root@web_hk ~]# setenforce 0 //临时关闭selinux
[root@web_hk ~]# getenforce
Disabled
[root@web_hk ~]# cat /etc/selinux/config //检查此文件,确认selinux永久关闭

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

3、安装、启用iptables服务

[root@web_hk ~]# yum install iptables-services
[root@web_hk ~]# systemctl start iptables
[root@web_hk ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.

4、配置邮箱mail

[root@WEB ~]# vi /etc/mail.rc
set bsdcompat
set from=123456@qq.com  //邮箱地址,
set smtp=smtp.exmail.qq.com
set smtp-auth-user=123456@qq.com //邮箱 账户
set smtp-auth-password=123 //邮箱密码
set smtp-auth=login

邮箱测试:
echo “内容” | mail -s 主题 接收的邮箱地址

[root@web_hk ~]# echo "888888" | mail -s test 987654@qq.com

三、for循环脚本

[root@web_hk ~]# touch unlogin.sh 
[root@web_hk ~]# chmod 755 unlogin.sh //赋予执行权限
[root@web_hk ~]# ll
total 0
-rwxr-xr-x 1 root root 0 Apr 15 20:05 unlogin.sh
[root@web_hk ~]# vi unlogin.sh

记录登录失败的主机ip地址,并记录到/tmp/host文件,记住是覆盖 >

lastb | awk '{print $3}' | grep ^[0-9] | uniq -c | awk '{print $1"="$2}' > /tmp/host

将登录失败的主机信息赋予变量list

list=`cat /tmp/host`

for循环取值

for i in $list;do
	ip=`echo $i | awk -F= '{print $2}'`//取出登录失败的ip地址
	num=`echo $i | awk -F= '{print $1}'`//取出登录的失败次数,用于if判断

if [[ $num -gt 5 ]];then //失败次数大于5次,就执行以下的脚本
		echo "$(date +%F) $(date +%T)" >> /$HOME/error_login,log//记录时间
		echo $ip >> /$HOME/error_login,log//记录被拉黑的IP地址
		echo $ip >> /tmp/host_deny//记录将要被拉黑的临时文件
		deny_ip=`cat /tmp/host_deny`//把拉黑的ip地址赋予变量deny_ip

继续嵌套否循环输出

for i in $deny_ip;do //读取黑名单的ip地址
			/usr/sbin/iptables -I INPUT -s $i -j DROP //iptables禁止ip访问
			echo "$i 企图恶意登录,已封禁" | mail -s “疑似暴力破解” 123456@qq.com//发邮件通知管理员
			lastb >> /root/btmp //备份登录失败的ip记录
			cat /dev/null > /var/log/btmp //清空登录失败的ip地址记录,如果不清空,将会陷入死循环
			rm -rf /tmp/host_deny //删除临时文件
		done
	fi
done

最终脚本内容:

#!/bin/bash
lastb | awk '{print $3}' | grep ^[0-9] | uniq -c | awk '{print $1"="$2}' > /tmp/host
list=`cat /tmp/host`
for i in $list;do
	ip=`echo $i | awk -F= '{print $2}'`
	num=`echo $i | awk -F= '{print $1}'`
	if [[ $num -gt 5 ]];then
		echo "$(date +%F) $(date +%T)" >> /$HOME/error_login,log
		echo $ip >> /$HOME/error_login,log
		echo $ip >> /tmp/host_deny
		deny_ip=`cat /tmp/host_deny`
		for i in $deny_ip;do
			/usr/sbin/iptables -I INPUT -s $i -j DROP
			echo "$i 企图恶意登录,已封禁" | mail -s “疑似暴力破解” 123456@qq.com
			lastb >> /root/btmp
			cat /dev/null > /var/log/btmp
			rm -rf /tmp/host_deny
		done
	fi
done

定时任务开启

[root@WEB ~]# crontab -e
*/1 * * * * ./etc/profile;/bin/bash /root/unlogin.sh

总结

1、我的脚本是在/root目录下编写的,记住自己编写脚本的路径,灵活应对。
2、我手动执行脚本是正常的,但是加入定时任务之后,出现防火墙的命令没有执行的情况,最终查询是环境变量问题,因此写脚本时候,防火墙使用的命令是绝对路径,在加入cron任务时候也加入环境声明./etc/profile;/bin/bash,最终才得以执行。

柳三千
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下shell处理nginx日志自动生成ip黑名单
01-20
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并写文件 #!/bin/bash data=`date +%Y-%m-%d` #统计访问量最高的前10ip awk '{print $1}' '/PATH/'$data'.log' | sort -n |uniq -c | sort -rn | head -n 10 >>/PATH/ip10-$data.txt ##blackip.sh 判断ip访问次数是否超过限定值,是就加黑名单中 #!/bin/bash #获取当前日期 data=`date +%Y-%m-%d` #blacklist目录要自己生成,
SHELL:某ip ssh主机失败超过三次,将其写黑名单
xys2333的博客
01-01 1269
实验说明: 1. 服务端为172.25.254.231 客户端:172.25.254.20 2.登陆信息系统保存在/var/log/secure 3.截取登陆失败ip awk '/Failed/{print $(NF-3)} 4.排序并统计次数: sort|uniq -c 脚本: #!bin/bash cat /var/log/secure | awk '...
linux试密码3次则屏蔽ip,linux centos封锁多次ssh密码错误的主机IP
weixin_34864191的博客
04-29 615
封锁多次ssh密码错误的主机IP.建立脚本内容$ cat /home/cnscn/sh/ssh_scan_crontab.sh#!/bin/bash# Authorhttp://jabin.cublog.cn# Modify cnscnhttp://cnscn2008.cublog.cn# Modify xinyv#设置时区export LC_ALL=UTC# 获取前 1 分钟内的 secure ...
Linux 服务器自动黑ssh登录失败IP
喵呜
06-09 2443
最近有的人很闲,在网上到处瞎登服务器,今天一看一晚上失败登录517次 写个脚本将登录失败IPssh黑名单
shell作业ssh连接失败三次及以上自动加黑名单脚本
橙汁Iter的博客
01-02 2876
要求:在/var/log/secure查找连接失败的主机,并统计次数,累计连接失败超过3次,将此主机加系统黑名单(/etc/hosts.deny) 思路:首先查看/var/log/secure文件,用命令截取并进行统计每个ip的出现次数,然后进行一个判断,是否加黑名单 下面是脚本的详细内容 #!/bin/bash cat /var/log/secure | awk '/Failed/...
将SSH多次登录失败IP黑名单
weizhen330的专栏
11-02 1931
SSH多次登录失败IP黑名单
shell脚本实现: 过滤系统日志 把ssh登录失败次数过多者加访问黑名单
o_8_o的博客
08-02 908
涉及知识点 wrappers是一个工作在传输层的安全工具,凡是调用了libwrap.so库文件的应用都受wrappers的访问控制。wrappers依赖/etc/hosts.allow和/etc/hosts.deny两个文件,wrappers会先检查/etc/hosts.allow白名单,然后检查/etc/hosts.deny黑名单。 查看应用程序是否受wrappers控制方法(以sshd应用...
运维安全: Linux检测登录失败记录并自动黑名单脚本
坐公交也用券
02-23 362
运维安全: Linux检测登录失败记录并自动黑名单脚本。
shell编程之屏蔽访问次数大于100次的ip地址
yang795555的博客
03-11 349
统计访问大于100的ip,并屏蔽
SSH 3次失败自动封锁IP
假不假,生来只为写代码
12-30 3942
2021年做的最后一个小东西 此功能用了2个sh脚本文件 daemon.sh,周期性调用真正的屏蔽任务fail3ssh.sh #!/bin/sh export LD_LIBRARY_PATH=./ while true; do ./fail3ssh.sh sleep 120 done fail3ssh.sh此脚本,会分析auth.log文件,对里面有3次ssh登录失败IP地址进行封锁! #!/bin/bash cat /var/log/auth.log ...
ssh脚本自动将IP华为USG6300防火墙黑名单
05-12
1.从ip.txt文件中取出ip列表。2.将每一个ip设置到防火墙黑名单。3.使用expect自动登录防火墙。4.进到防火墙系统视图。5.将IP到防火墙。6.查看IP黑名单列表。完整代码见附件
暴力破解到getshell
06-10
暴力破解到getshell视频教程,本课程通过暴力破解获取后台管理权限,通过上传一句话木马,获取服务器权限。通过案例操作详细讲解该种类型漏洞利用过程中所需要得知识,并针对研发讲解了该漏洞得修复方案,从攻击和...
shell脚本防ssh和vsftpd暴力破解的详解讲解
01-10
SHELL脚本放在crontab计划任务里,每隔6小时(此时间根据实际情况来定义)就去读取/var/log/secure脚本,取出里面恶意猜测IP,如果单位时间内(一星期)的连接数是高于一个阀值,例如100(此阀值也可以根据实际...
Linux shell-禁止恶意ssh连接
weixin_57041250的博客
11-02 270
SSH 常用远程连接,方便管理员或有权限的用户去操作。但也有可能会受到他人恶意攻击,如进行用户密码爆破。对此,我们要进行防范!
Linux-----Ubuntu通过shell脚本将SSH多次登录失败IP自动加黑名单
11-23 5344
一:与登录相关文件介绍 ubuntu三个文件日志介绍: 1:/var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间; 2:/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看; 3:/var/log/btmp:记录失败登录尝试信息,默认由lastb命令查看。 ubuntu查看失败登录记录,只需要 sudo lastb #或者 sudo lastb -n 30 #查看最新前30条 二:查看失败
linux试密码3次则屏蔽ip,怎么才能让别人ssh时候输三次错误密码之后自动屏蔽?...
weixin_32742203的博客
04-29 198
今天偶尔看了下 /var/log/secure 结果看到了下面的提示我想问下高手怎样才能让他们输 三次错误用户或者密码后自动屏蔽掉他们?这几天老有这样的地址不停的连接我的主机,烦死了,ssh端口我已经改了Feb 27 05:50:12 newserver sshd[3743]: Failed password for root from 119.31.176.121 port 52064 ssh...
shell脚本自动黑ssh登录失败3次以上的IP
weixin_34185512的博客
07-20 465
#!/bin/bash#Created By T.Sweetiptables_file=/etc/sysconfig/iptables #防火墙配置文件IP_ADDR=`tail -n 500 /var/log/secure | grep "Failed password" | awk '{print $11}' | uniq -c | awk '$1>= ...
linux下的调试工具gdb的详细使用介绍
最新发布
qq_75270497的博客
05-06 973
详细介绍在linux下使用gdb的方法,每个步骤都举例说明,适合复习和新手门,希望能为能够帮助到大家。
shell每分钟执行一次,当检测到有ip,每分钟访问次数超过200,将该ip黑名单,并在 /tmp/blacklist
03-26
.txt 中记录该ip地址。 首先,我们需要创建一个脚本,用于检测日志中的IP地址访问次数,并在需要时将其添加到黑名单文件中。以下是一个可能的实现: ``` #!/bin/bash # 设置阈值 THRESHOLD=200 # 日志文件路径 LOG_FILE=/var/log/access.log # 黑名单文件路径 BLACKLIST_FILE=/tmp/blacklist.txt # 获取当前时间 now=$(date +"%Y-%m-%d %T") # 统计访问次数大于阈值的IP地址 ip_list=$(awk '{print $1}' ${LOG_FILE} | sort | uniq -c | awk -v threshold=$THRESHOLD '$1 > threshold {print $2}') # 遍历IP地址列表 for ip in ${ip_list}; do # 在黑名单文件中查找IP地址 if grep -q "${ip}" "${BLACKLIST_FILE}"; then echo "${now}: ${ip} is already blacklisted." else # 将IP地址添加到黑名单文件中 echo "${ip}" >> "${BLACKLIST_FILE}" echo "${now}: ${ip} is added to blacklist." fi done ``` 上述脚本会读取指定的访问日志文件中的IP地址,并统计每个IP地址出现的次数。然后,它会检查访问次数是否超过了给定的阈值,并将访问次数超过阈值的IP地址加到指定的黑名单文件中。 脚本中的阈值、日志文件路径和黑名单文件路径都可以根据实际需要进行修改。 要让这个脚本每分钟自动执行,我们需要使用 cron 工具。可以使用以下命令编辑 cron 表: ``` crontab -e ``` 然后,在文件末尾添加以下行: ``` * * * * * /path/to/script.sh ``` 这会让 cron 每分钟执行一次脚本。请将 `/path/to/script.sh` 替换为实际脚本文件的路径。 需要注意的是,如果您是在 Windows 环境下编写脚本,则需要将脚本保存为 UNIX 格式,并确保脚本文件的权限为可执行。这可以通过以下命令完成: ``` dos2unix /path/to/script.sh chmod +x /path/to/script.sh ``` 现在,每当脚本检测到访问次数超过200的IP地址,它会将其添加到黑名单文件中,并在 /tmp/blacklist.txt 中记录该ip地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值