利用shell防止暴力破解，封掉多次访问失败的IP地址

客官°小女子只卖身不卖艺 2022-05-28 11:18 324阅读 0赞

思路是查找/var/log/secure中验证失败且出现的次数较多的ip，对其进行封IP处理。具体方法如下：

vi /usr/local/bin/secure.sh

\#输入以下脚本

\#! /bin/bash

cat /var/log/secure|awk '/Failed/\{print $(NF-3)\}'|sort|uniq -c|awk '\{print $2"="$1;\}' > /usr/local/bin/black.list

for i in \`cat /usr/local/bin/black.list\`

do

IP=\`echo $i |awk -F= '\{print $1\}'\`

NUM=\`echo $i|awk -F= '\{print $2\}'\`

\#if \[ $\{\#NUM\} -gt 1 \]; then \#\#失败次数>10，可读性太差，调整为如下：

if \[ $NUM -gt 10 \]; then

grep $IP /etc/hosts.deny > /dev/null \#\#检索IP是否已存在于hosts.deny

if \[ $? -gt 0 \];then \#\#$?上一条命令的执行结果，0有正常输出，其他异常

echo "sshd:$IP:deny" >> /etc/hosts.deny \#\#增加屏蔽登录失败的IP

fi

fi

done

chmod +x /usr/local/bin/secure.sh

然后将secure\_ssh.sh加入到cron计划任务中即可。

vi  / var / spool / cron / root

\#增加以下命令，一分钟执行一次

\*/ 1  \*  \*  \*  \*  sh  / usr / **local** / bin / secure . sh

避免增加系统负担，调整为十分钟执行一次

\*/10 \* \* \* \* sh /usr/ **local** /bin/secure.sh

初次执行过后，为减轻系统压力，可清掉相应日志，清理之前最好备份

cp /var/log/secure /var/log/secure.20180314 && >/var/log/secure

也可考虑对此日志进行定期备份、清理

实用注意：可能出现误加，这时需要同时清理secure、hosts.deny两个文件中的相关记录。

PS：

&& 前个命令执行成功再执行后一个命令

||  前个命令执行失败再执行后一个命令

另一种解决办法思路：

1、排查日志，将可疑IP加入防火墙拒绝列表；

2、一定时间后解除防火墙拒绝对应列表；

3、如果再次触发告警，再次加入拒绝，时间翻倍；

......

发表评论取消回复

表情：

评论列表（有 0 条评论，324人围观）

还没有评论，来说两句吧...

相关阅读

相关 Linux防止暴力破解密码脚本

1.认识记录linux记录安全的日志 [root@testpm ~] cd /var/log/ [root@testpm log] ls | gre

Dear 丶/ 2023年10月06日 15:56/ 0 赞/ 30 阅读

相关 Linux防止暴力破解密码脚本

1.认识记录linux记录安全的日志 [root@testpm ~] cd /var/log/ [root@testpm log] ls | gre

左手的ㄟ右手/ 2023年10月06日 15:08/ 0 赞/ 2 阅读

相关 Linux利用hosts.deny防止暴力破解ssh

Linux利用hosts.deny防止暴力破解ssh 1.背景最近服务器被同一个ip多次访问我的22号端口，能用22号端口的无非是ssh连接。 1.1 查看端口连接信息

Myth丶恋晨/ 2023年05月31日 14:00/ 0 赞/ 2 阅读

相关 vue防止多次点击（暴力点击）

工具类noDbClick.js export default { }.install = (Vue, options = { }) => { V

╰+哭是因爲堅強的太久メ/ 2022年12月26日 10:11/ 0 赞/ 263 阅读

相关 Linux防止暴力破解密码脚本

1.认识记录linux记录安全的日志 [root@testpm ~] cd /var/log/ [root@testpm log] ls | gre

小鱼儿/ 2022年12月16日 13:13/ 0 赞/ 226 阅读

相关防止SSH暴力攻击方法之Denyhosts工具使用（附：误封IP问题）

标题SSH暴力破解攻击是一种通过遍历枚举的用户名（尤其是一些常用、惯用的用户名）、密码字典对远程登录设备（如：云服务器）进行尝试登录，来窃取设备权限，以获取非法利益的网

短命女/ 2022年11月26日 01:53/ 0 赞/ 295 阅读

相关利用shell防止暴力破解，封掉多次访问失败的IP地址

思路是查找/var/log/secure中验证失败且出现的次数较多的ip，对其进行封IP处理。具体方法如下： vi /usr/local/bin/secure.sh \输入

客官°小女子只卖身不卖艺/ 2022年05月28日 11:18/ 0 赞/ 325 阅读

相关加入DNS黑掉，可以利用IP地址访问网站

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ub

痛定思痛。/ 2022年03月12日 02:14/ 0 赞/ 399 阅读

相关 node 代理服务器防止被封ip

在axios请求中 axios.get(url,{ proxy: { host: '127.0.0.1',

「爱情、让人受尽委屈。」/ 2021年07月24日 14:11/ 0 赞/ 518 阅读

相关利用openresty+lua+redis封掉恶意请求IP

封IP有很多种方法，比如 1.在os上使用iptables进行处理 2.在web server上使用nginx自带的deny(或限制)或者使用nginx的lua插件配...

系统管理员/ 2021年04月12日 15:21/ 0 赞/ 508 阅读