shell脚本自动加黑恶意***IP

973114

　　shell脚本自动加黑恶意***IP
　　系统环境：Centos 6.5 X64
　　如果我们对所有用户开放了SSH 22端口，那么我们就可以在/var/log/secure文件里查看，这里面全是恶意***的IP ，那么我们又该如何拒绝这些IP在下次***时直接把他拉黑，封掉呢？ 或者这个IP再试图登陆4次或7次我就把他拒绝了，把他这个IP永久的封掉呢？这个时候我们就可以用这下面这个脚本来实现。
　　[root@host ssh]# vi /etc/ssh/blocksship
　　#!/bin/bash
　　#auto drop ssh failed IP address
　　#by authors evanli 2017-6-13
　　SEC_FILE=/var/log/failed.txt
　　ip_regex="[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}"
　　grep -r "Failed password" /var/log/secure > /var/log/failed.txt
　　IP_ADDR=`tail -n 100 /var/log/failed.txt |grep "Failed password"| egrep -o  $ip_regex | sort -nr | uniq -c | awk '$1>=7 {print $2}'`
　　IPTABLES_CONF=/etc/sysconfig/iptables
　　for i in `echo $IP_ADDR`
　　do
　　cat $IPTABLES_CONF |grep $i >/dev/null
　　if
　　[ $? -ne 0 ];then
　　sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF
　　else
　　echo "This is $i is exist in iptables,please exit ....."
　　fi
　　done
　　脚本说明
　　一、先生成带有关键字“Failed password”的文件/var/log/failed.txt
　　二、再查找failed.txt文件中出现次数大于7的IP地址。
　　三、awk '$1>=7 表示匹配文件中出数 次数大于等7的IP，才加入黑名单。此数字7可按自己需要更改。
　　四、判断iptables配置文件里是否存在已拒绝的ip，如果不存在，就不再添加相应条目，如果存在就显示“This is IP is exist in iptables,please exit .....”
　　五、sed -i "5 a -A INPUT -s $i -m state --state NEW -m tcp -p tcp --dport 22 -j DROP" $IPTABLES_CONF
　　表示在iptables文件的第5行之后，新加入一行DROP策略。请一定要根据自己iptables文件，来选择在第几行插入新的DROP策略。
　　给执行权限,并执行
　　[root@host ssh]#chmox +x /etc/ssh/blocksship
　　[root@host ssh]#/etc/ssh/blocksship
　　执行后，查看iptables文件是否正常。如没问题，重起服务。
　　[root@host ssh]#vi /etc/sysconfig/iptables
　　[root@host ssh]#service iptables restart
　　
　　
　　添加到排程任务，每1小时执行一次
　　[root@host postfix]# vi /etc/crontab
　　0 */1 * * * root /etc/ssh/blocksship
　　
　　以下是单条命令分开执行后的效果
　　
　　生成带有关键字“Failed password”的文件
　　[root@host ssh]# grep -r "Failed password" /var/log/secure > /var/log/failed.txt
　　
　　显示failed.txt文件第11列信息，即IP地址
　　[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk '{print $11}'
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　219.132.35.82
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　62.145.211.15
　　直接用命令统计出某个IP试图登陆的次数
　　[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk '{print $11}'|sort|uniq -c |sort -nr
　　12 62.145.211.15
　　1 219.132.35.82
　　12表示该IP出现了12次
　　显示大于等7次的IP
　　[root@host ssh]# tail -n 100 /var/log/failed.txt |grep "Failed password"| awk '{print $11}'|sort|uniq -c |sort -nr | awk '$1>=7{print $2}'
　　62.145.211.15
　　
　　脚本下载
　　http://down.51cto.com/data/2317324
　　参考文章
　　http://kangh.iteye.com/blog/2304836
　　测试成功于2017.6.13日，evan.li