自动拒绝恶意IP远程登录Linux服务器脚本
发布时间:2013-06-13 20:28:04作者:知识屋
随着整个IT行业的发展,安全对于人们来说非常的重要,小到个人电脑,到IT企业大数据存储,大到整个互联网安全,其实要做好安全,不能光看整体,有时候细节才是最重要的,相对而言,个人电脑的安全,需要我们从多方面来防御,例如使用目前权威主流的360杀毒软件,然后结合自己上网的习惯,不要打开来历不明的东西等等。
那对于服务器级别的安全,我们该如何来做呢,首先是服务器本身处在的机房环境安全,人为操作安全,以及操作系统方面的安全,禁止不必要的端口和服务、配置服务器自身防火墙,例如iptables,除了这些,服务器就安全了吗,就算我们做到这些,也只是相对的安全。安全是要靠长期和点滴来保证。
说了那么多,呵呵,那我们今天要讨论的是什么呢?今天我们一起来研究一下Linux下如何拒绝恶意IP的攻击,当然这里有很多种方法,我们今天使用脚本来实现。有部分服务器由于业务的需求,配置了外网IP,允许22端口对外访问,(当然我们这里是来讨论这种情况的初步解决方法,我们也可以使用VPN、密钥登录等方式来排除这种直接对外登录的情况发生)
当我们已经配置了iptables防火墙,我们允许22端口对外网所有人访问,当然这也是为了方便,我们在任何地方都连接上,没有做VPN,也没有做ssh密钥验证,但是我们的密码设置得非常复杂,大小写、特殊符、数字 32位,连自己都记不住,就别人扫描没有3-5年是无法攻破的 哈哈。所以每天看/var/log/secure文件里面,全部是恶意攻击的ip,那怎么拒绝这些ip下次再攻击,或者怎么让这些IP尝试3-4次就拒绝访问22端口了,看代码如下:
1. #!/bin/sh
2. #auto drop ssh failed IP address
3. #wugk 2013-1-2
4. #定义变量
5. SEC_FILE=/var/log/secure
6. #如下为截取secure文件恶意ip 远程登录22端口,大于等于4次就写入防火墙,禁止以后再登录服务器的22端口
7. IP_ADDR=`tail -n 1000 /var/log/secure |grep "Failed password"|awk '{print $11}'|grep "." |sort |uniq -c |sort -nr|awk ' $1>=4 {print $2}'`
8. IPTABLE_CONF=/etc/sysconfig/iptables
9. echo
10. cat <<EOF
11. ++++++++++++++welcome to use ssh login drop failed ip+++++++++++++++++
12. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
13. ++++++++++++++++------------------------------------++++++++++++++++++
14. EOF
15. #打印动态滚动条,参照老男孩博客-数组分析文章
16. echo -n "请等待5秒后开始执行 "
17. for ((j=0;j<=4;j++)) ;do echo -n "----------";sleep 1 ;done
18. echo
19.
20. for i in `echo $IP_ADDR`
21.
22.
23. do
24. #查看iptables配置文件是否含有提取的IP信息
25. cat $IPTABLE_CONF |grep $i >/dev/null
26.
27. if
28. [ $? -ne 0 ];then
29. #判断iptables配置文件里面是否存在已拒绝的ip,如何不存在就不再添加相应条目
30. sed -i "/lo/a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLE_CONF
31. else
32. #如何存在的话,就打印提示信息即可
33. echo "This is $i is exist in iptables,please exit ......"
34.
35. fi
36.
37. done
38.
39. #最后重启iptables生效
40. /etc/init.d/iptables restart
如上脚本编写完毕,如何实现自动添加恶意IP呢,执行如下命令,添加到crontab即可,实现每5分钟自动执行该脚本。
1. echo "*/5 * * * * /bin/sh /data/sh/auto_deny_Login.sh >>/data/logs/login/login.log 2>&1" >>/var/spool/cron/root
过几天观察,我们会发现IPTABLES配置文件里面发生了如下变化:截图如下,全部是恶意攻击的IP:
自动拒绝恶意IP远程登录Linux服务器脚本
以上方法仅供参考,根据自己的实际情况修改,欢迎大家共同交流和探讨,这里链接一下比较全的恶意攻击ip表 http://pastebin.com/0b6S86sV
那对于服务器级别的安全,我们该如何来做呢,首先是服务器本身处在的机房环境安全,人为操作安全,以及操作系统方面的安全,禁止不必要的端口和服务、配置服务器自身防火墙,例如iptables,除了这些,服务器就安全了吗,就算我们做到这些,也只是相对的安全。安全是要靠长期和点滴来保证。
说了那么多,呵呵,那我们今天要讨论的是什么呢?今天我们一起来研究一下Linux下如何拒绝恶意IP的攻击,当然这里有很多种方法,我们今天使用脚本来实现。有部分服务器由于业务的需求,配置了外网IP,允许22端口对外访问,(当然我们这里是来讨论这种情况的初步解决方法,我们也可以使用VPN、密钥登录等方式来排除这种直接对外登录的情况发生)
当我们已经配置了iptables防火墙,我们允许22端口对外网所有人访问,当然这也是为了方便,我们在任何地方都连接上,没有做VPN,也没有做ssh密钥验证,但是我们的密码设置得非常复杂,大小写、特殊符、数字 32位,连自己都记不住,就别人扫描没有3-5年是无法攻破的 哈哈。所以每天看/var/log/secure文件里面,全部是恶意攻击的ip,那怎么拒绝这些ip下次再攻击,或者怎么让这些IP尝试3-4次就拒绝访问22端口了,看代码如下:
1. #!/bin/sh
2. #auto drop ssh failed IP address
3. #wugk 2013-1-2
4. #定义变量
5. SEC_FILE=/var/log/secure
6. #如下为截取secure文件恶意ip 远程登录22端口,大于等于4次就写入防火墙,禁止以后再登录服务器的22端口
7. IP_ADDR=`tail -n 1000 /var/log/secure |grep "Failed password"|awk '{print $11}'|grep "." |sort |uniq -c |sort -nr|awk ' $1>=4 {print $2}'`
8. IPTABLE_CONF=/etc/sysconfig/iptables
9. echo
10. cat <<EOF
11. ++++++++++++++welcome to use ssh login drop failed ip+++++++++++++++++
12. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
13. ++++++++++++++++------------------------------------++++++++++++++++++
14. EOF
15. #打印动态滚动条,参照老男孩博客-数组分析文章
16. echo -n "请等待5秒后开始执行 "
17. for ((j=0;j<=4;j++)) ;do echo -n "----------";sleep 1 ;done
18. echo
19.
20. for i in `echo $IP_ADDR`
21.
22.
23. do
24. #查看iptables配置文件是否含有提取的IP信息
25. cat $IPTABLE_CONF |grep $i >/dev/null
26.
27. if
28. [ $? -ne 0 ];then
29. #判断iptables配置文件里面是否存在已拒绝的ip,如何不存在就不再添加相应条目
30. sed -i "/lo/a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLE_CONF
31. else
32. #如何存在的话,就打印提示信息即可
33. echo "This is $i is exist in iptables,please exit ......"
34.
35. fi
36.
37. done
38.
39. #最后重启iptables生效
40. /etc/init.d/iptables restart
如上脚本编写完毕,如何实现自动添加恶意IP呢,执行如下命令,添加到crontab即可,实现每5分钟自动执行该脚本。
1. echo "*/5 * * * * /bin/sh /data/sh/auto_deny_Login.sh >>/data/logs/login/login.log 2>&1" >>/var/spool/cron/root
过几天观察,我们会发现IPTABLES配置文件里面发生了如下变化:截图如下,全部是恶意攻击的IP:
自动拒绝恶意IP远程登录Linux服务器脚本
以上方法仅供参考,根据自己的实际情况修改,欢迎大家共同交流和探讨,这里链接一下比较全的恶意攻击ip表 http://pastebin.com/0b6S86sV
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
相关知识
-
linux一键安装web环境全攻略 在linux系统中怎么一键安装web环境方法
-
Linux网络基本网络配置方法介绍 如何配置Linux系统的网络方法
-
Linux下DNS服务器搭建详解 Linux下搭建DNS服务器和配置文件
-
对Linux进行详细的性能监控的方法 Linux 系统性能监控命令详解
-
linux系统root密码忘了怎么办 linux忘记root密码后找回密码的方法
-
Linux基本命令有哪些 Linux系统常用操作命令有哪些
-
Linux必学的网络操作命令 linux网络操作相关命令汇总
-
linux系统从入侵到提权的详细过程 linux入侵提权服务器方法技巧
-
linux系统怎么用命令切换用户登录 Linux切换用户的命令是什么
-
在linux中添加普通新用户登录 如何在Linux中添加一个新的用户
软件推荐
更多 >
-
1
专为国人订制!Linux Deepin新版发布2012-07-10
-
2
CentOS 6.3安装(详细图解教程)
-
3
Linux怎么查看网卡驱动?Linux下查看网卡的驱动程序
-
4
centos修改主机名命令
-
5
Ubuntu或UbuntuKyKin14.04Unity桌面风格与Gnome桌面风格的切换
-
6
FEDORA 17中设置TIGERVNC远程访问
-
7
StartOS 5.0相关介绍,新型的Linux系统!
-
8
解决vSphere Client登录linux版vCenter失败
-
9
LINUX最新提权 Exploits Linux Kernel <= 2.6.37
-
10
nginx在网站中的7层转发功能
