近来邮件服务器邮箱密码老是受到暴力猜测,所以写个脚本挂上去,自动挡掉其IP。
脚本工作,定期查询maillog日志,统计一定时间段内登录失败的IP地址的总数。超过触发值的调用
iptables将其deny掉。
脚本如下:
#/bin/bash
my_dir="/tools/denymail"
tail -n 100000 /var/log/maillog|grep "LOGIN FAILED"|awk '{print $9}'|sort|awk -F: '{print $4}'|awk -F ] '{print $1}'|uniq -c|awk '$1 > 50 {print $1,$2}' > /$my_dir/tmp.txt
while read LINE
do
COUNT=$(echo $LINE | awk '{print $1}')
IP=$(echo $LINE | awk '{print $2}')
IPSUB=$(echo $IP|awk -F. '{print $1"."$2}')
if [ $COUNT -gt 50 ];then
grep $IP $my_dir/white.txt > /dev/null
if [ $? -gt 0 ];then
grep $IPSUB $my_dir/white.txt > /dev/null
if [ $? -gt 0 ];then
grep $IP $my_dir/black.txt > /dev/null
if [ $? -gt 0 ];then
iptables -I INPUT -p tcp -s $IP -j DROP
echo $IP >> $my_dir/black.txt
fi
fi
fi
fi
done < $my_dir/tmp.txt会在脚本所在目录下生成3个文件,tmp.txt(这个是临时产生的文件) , white.txt(这个是需要排除的网段或ip地址) , black.txt(这个是用于存储已经被自动deny掉的IP地址)文件。
White文件书写格式:
192.168.0.0 #脚本这里我只做192.168前面两区间的比对,如10.10.X.X
102.14.7.13
然后添加crontab计划任何每小时执行一次。
vim /etc/crontab
01 * * * * root /bin/sh /tools/denymail/denymail.sh
