#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /root/black.txt
DEFINE="100"
for i in `cat /root/black.txt`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ];
then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];
then
echo "sshd:$IP" >> /etc/hosts.deny
echo "vsftpd:$IP" >> /etc/hosts.deny
fi
fi
done
脚本思路如下:
由于/var/log/secure是以星期为轮询的,所以我们每次可以查看这个文件,利用SHELL脚本统计出其中访问失败比较频繁的IP,并定义一个阀值为100,如果大于100的话就将其放进/etc/hosts.deny文件,阻止其继续访问vsftpd和ssh;然后将其写进 crontab计划列表里,每隔一段时间进行一次排查,如果下次排查的某IP次数又大于100,首先检查它在不在我们的黑名单,如果在的话就无视过去;如果不在,就继续添加进/etc/hosts.deny文件。
我的/etc/crontab文件最后一行为
* */1 * * * root sh /root/hosts_deny.sh
即每隔1小时就重复执行一次这个脚本,这里也有一个情况要说明下,/var/log/secure是每隔一个星期轮询一次的,所以我们这里可以根据服务器的具体情况来配置多少时间执行一次此脚本,暴力破解频繁的机器可适当缩小这个周期。
我的公网机器运行脚本一段时间后,/etc/hosts.deny文件如下:
结果:
sshd:119.145.254.77 vsftpd:119.145.254.77 sshd:222.221.2.210 vsftpd:222.221.2.210 sshd:118.218.136.25 vsftpd:118.218.136.25 sshd:118.33.110.52 vsftpd:118.33.110.52 sshd:123.196.113.11 vsftpd:123.196.113.11 sshd:14.140.172.74 vsftpd:14.140.172.74 sshd:200.29.110.104 vsftpd:200.29.110.104 sshd:202.102.89.81 vsftpd:202.102.89.81 sshd:202.78.173.199 vsftpd:202.78.173.199
参考出去:
http://www.opsers.org/linux-home/security/scripts-to-prevent-brute-force-ssh-and-vsftpd.html