自动阻止恶意攻击IP，降低青龙被暴力破解的风险

自动阻止恶意攻击IP，降低青龙被暴力破解的风险
临近年关，青龙被暴力攻击的次数越来越多，把我现在使用的方法分享给大家，希望可以给大家带来帮助。
（1）创建脚本目录和日志目录，使用root用户执行

mkdir -p /data/scripts
mkdir -p /data/blackip

（2）创建脚本，获取暴力扫描服务器IP信息

cd /data/scripts
vi secure_ssh_blackip_check.sh

把下面内容粘贴到该脚本里，注意这句话本身不要复制哦，脚本里配置的内容【 if [ $NUM -gt 5 ];then】里的5是外部IP登录青龙失败的次数，如果失败次数大于5次，就会阻止该IP的新的ssh请求。大家根据自己需要调整这个数字即可，如果自己密码复杂，容易输错，就可以适当增大，比如调整为10或20次，如果密码不复杂，不容易输错，那就5-10次即可。

#! /bin/bash
# black ip will write into file /etc/hosts.deny
# when an ip tried 5 times password failed and will block this ip request
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /data/blackip/black_ip_collect.txt
for i in `cat /data/blackip/black_ip_collect.txt`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
   if [ $NUM -gt 5 ];then
      grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

粘贴完成后，按一下 ESC 按钮，之后按下英文的冒号按键（ : ）, 并输入小写 x，回车即可保存。

（3）配置crontab自动调度，每10分钟做一次黑名单处理，使用root执行下面命令

大家也可以根据自己的需求调整crontab的执行频次

crontab -e

按一下小写字母 i

粘贴下面一条内容：

*/10 * * * *  sh /data/scripts/secure_ssh_blackip_check.sh

粘贴完成后，按一下 ESC 按钮，之后按下英文的冒号按键（ : ）, 并输入小写 x，回车即可保存。

（4）上面配置完成后，可以先手工执行一下脚本，如果/data/blackip/black_ip_collect.txt下有文件生成，则表示脚本配置成功，也可以打开这个文件看看你的服务器是否被扫描过

sh /data/scripts/secure_ssh_blackip_check.sh
cat /data/blackip/black_ip_collect.txt