12
01月
2022
摘要:我们经常看到有很多来历不明的ip尝试登陆我们的linux服务器
1、新建一个aq.sh脚本监控攻击者的ip,加入拒绝的hosts.deny文件里面
#!/bin/awk -f
/Failed/{
at=mktime(strftime("%Y-%m-%d 00 00 00",systime()));
gsub(/T|:/," ",$1);
att=mktime($1);
if(att>at){
ips[$(NF-3)]++;
}
}
END{
for(ip in ips){
if(ips[ip]>4){
#print(ip);
cmd="awk '/"ip"/{exit(2);}' /etc/hosts.deny";
if(2!=system(cmd)){
deny="ALL:"ip":DENY";
system("echo "deny">>/etc/hosts.deny");
}
}
}
}
2、把刚刚添加的文件加入到crontab里面如下
#这个脚本的意思是每两分钟执行一次,查看是否有人暴力破解ssh的登录有就加入拒绝的hosts.deny里面
*/2 * * * * /www/aq.sh /var/log/secure
非特殊说明,本文版权归HPay所有,转载请注明出处.
本文类型: Java工具