shell脚本自动加黑恶意攻击IP

系统环境：Centos 6.5 X64

如果我们对所有用户开放了SSH 22端口，那么我们就可以在/var/log/secure文件里查看，这里面全是恶意攻击的IP，那么我们又该如何拒绝这些IP在下次攻击时直接把他拉黑，封掉呢？或者这个IP再试图登陆4次或7次我就把他拒绝了，把他这个IP永久的封掉呢？这个时候我们就可以用这下面这个脚本来实现。

[root@host ssh]#vi /etc/ssh/blocksship

#!/bin/bash

#auto drop ssh failed IP address

#by authors evanli 2017-6-13

SEC_FILE=/var/log/failed.txt

ip_regex="[[:digit:]]{1,3}\.[[:digit:]]{1,3}"

grep -r "Failed password" /var/log/secure > /var/log/failed.txt

IP_ADDR=`tail -n 100 /var/log/failed.txt |grep "Failed password"| egrep -o $ip_regex | sort -nr | uniq -c | awk '$1>=7 {print $2}'`

IPTABLES_CONF=/etc/sysconfig/iptables

for i in `echo $IP_ADDR`

do

cat $IPTABLES_CONF |grep $i >/dev/null

if

[ $? -ne 0 ];then

sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF

else

echo "This is $i is exist in iptables,please exit ....."

fi

done

脚本说明

一、先生成带有关键字“Failed password”的文件/var/log/failed.txt

二、再查找failed.txt文件中出现次数大于7的IP地址。

三、awk '$1>=7 表示匹配文件中出数 次数大于等7的IP，才加入黑名单。此数字7可按自己需要更改。

四、判断iptables配置文件里是否存在已拒绝的ip，如果不存在，就不再添加相应条目，如果存在就显示“This is IP is exist in iptables,please exit .....”

五、sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF

表示在iptables文件的第5行之后，新加入一行DROP策略。请一定要根据自己iptables文件，来选择在第几行插入新的DROP策略。

给执行权限,并执行

[root@host ssh]# chmox +x/etc/ssh/blocksship

[root@host ssh]#/etc/ssh/blocksship

执行后，查看iptables文件是否正常。如没问题，重起服务。

[root@host ssh]# vi /etc/sysconfig/iptables

[root@host ssh]#service iptablesrestart

添加到排程任务，每1小时执行一次

[root@host postfix]#vi /etc/crontab

0 */1 * * * root /etc/ssh/blocksship

以下是单条命令分开执行后的效果

生成带有关键字“Failed password”的文件

[root@host ssh]#grep -r "Failed password" /var/log/secure > /var/log/failed.txt

显示failed.txt文件第11列信息，即IP地址

[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk '{print $11}'

62.145.211.15

62.145.211.15

219.132.35.82

62.145.211.15

直接用命令统计出某个IP试图登陆的次数

[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk '{print $11}'|sort|uniq -c |sort -nr

1262.145.211.15

1 219.132.35.82

12表示该IP出现了12次

显示大于等7次的IP

[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk '{print $11}'|sort|uniq -c |sort -nr | awk '$1>=7 {print $2}'

62.145.211.15

脚本下载

http://down.51cto.com/data/2317324

参考文章

http://kangh.iteye.com/blog/2304836

测试成功于2017.6.13日，evan.li