黑色海岸线论坛 - Powered by Discuz! Board

标题: [转帖]通过ssh认证记录禁掉扫描机器的IP [打印本页]

作者: 风三 时间: 2005-8-11 10:21 标题: [转帖]通过ssh认证记录禁掉扫描机器的IP

看看这个分析 /var/log/secure日志，能自动阻断入侵者 IP 的 script
适用系统：Linux

#! /bin/bash
# 获取前 1 分钟内的 secure 记录，统计 ssh 认证失败的 IP 和其失败次数
SCANNER=`grep "\`date \"+ %d %H:%M\" -d \"-1min\"\`" /var/log/secure|awk ';/Failed/{print $(NF-3)}';|sort|uniq -c|awk ';{print $1"="$2;}';`
for i in $SCANNER
do
      # 取认证失败次数
      NUM=`echo $i|awk -F= ';{print $1}';`
      # 取其 IP 地址
      IP=`echo $i|awk -F= ';{print $2}';`
      # 若其在失败次数超过 5 次且之前没有被阻断过，那么添加一条策略将其阻断，并记录日志
      if [ $NUM -gt 5 ] && [ -z "`iptables -vnL INPUT|grep $IP`" ]
      then
            iptables -I INPUT -s $IP -m state --state NEW,RELATED,ESTABLISHED -j DROP
            echo "`date` $IP($NUM)" >> /var/log/scanner.log
      fi
done

作者: 风三 时间: 2005-8-11 10:21 标题: [转帖]通过ssh认证记录禁掉扫描机器的IP

执行方式
用 crond 来运行，1 分钟运行 1 次

运行效果
[root@platinum root]# iptables -vnL INPUT
Chain INPUT (policy DROP 548 packets, 67283 bytes)
pkts bytes target    prot opt in    out    source             destination
  101 10240 DROP    all  --  *    *    211.248.100.100       0.0.0.0/0
      state NEW,RELATED,ESTABLISHED
[root@platinum root]#
[/quote:6f82d78e64]
[quote:6f82d78e64]
[root@platinum root]# cat /var/log/scanner.log
Sat Jul 16 10:27:22 CST 2005 211.248.100.100(15)
[root@platinum root]#
[/quote:6f82d78e64]

作者: 风三 时间: 2005-8-11 10:25 标题: [转帖]通过ssh认证记录禁掉扫描机器的IP

这个工具的好处在于能够让讨厌的ssh密码探测滚出去时间建议设置为30秒最好
因为扫描时间一般不会超过1分钟，时间在10-30秒的居多。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)