近来邮件服务器邮箱密码老是受到暴力猜测,所以写个脚本挂上去,自动挡掉其IP。
脚本工作,定期查询maillog日志,统计一定时间段内登录失败的IP地址的总数。超过触发值的调用
iptables将其deny掉。
脚本如下:
#/bin/bash my_dir="/tools/denymail" tail -n 100000 /var/log/maillog|grep "LOGIN FAILED"|awk '{print $9}'|sort|awk -F: '{print $4}'|awk -F ] '{print $1}'|uniq -c|awk '$1 > 50 {print $1,$2}' > /$my_dir/tmp.txt while read LINE do COUNT=$(echo $LINE | awk '{print $1}') IP=$(echo $LINE | awk '{print $2}') IPSUB=$(echo $IP|awk -F. '{print $1"."$2}') if [ $COUNT -gt 50 ];then grep $IP $my_dir/white.txt > /dev/null if [ $? -gt 0 ];then grep $IPSUB $my_dir/white.txt > /dev/null if [ $? -gt 0 ];then grep $IP $my_dir/black.txt > /dev/null if [ $? -gt 0 ];then iptables -I INPUT -p tcp -s $IP -j DROP echo $IP >> $my_dir/black.txt fi fi fi fi done < $my_dir/tmp.txt
会在脚本所在目录下生成3个文件,tmp.txt(这个是临时产生的文件) , white.txt(这个是需要排除的网段或ip地址) , black.txt(这个是用于存储已经被自动deny掉的IP地址)文件。
White文件书写格式:
192.168.0.0 #脚本这里我只做192.168前面两区间的比对,如10.10.X.X
102.14.7.13
然后添加crontab计划任何每小时执行一次。
vim /etc/crontab
01 * * * * root /bin/sh /tools/denymail/denymail.sh