linux系统shell脚本实现恶意扫描服务器密码自动屏蔽

原创

无锋剑客 2022-08-16 10:23:22 ©著作权

©著作权归作者所有：来自51CTO博客作者无锋剑客的原创作品，请联系作者获取转载授权，否则将追究法律责任

最近在香港和台湾各买了一台VPS服务器，在调试过程中发现，琢磨这两台服务器的小黑太多了，各种密码探测扫描，他大爷的真是闲的蛋疼的人很多啊。我就先装了一个denyhost顶住，就几天的时间，收了不少报警邮件，发现denyhost没能吧哪些恶意IP地址加到/etc/hosts.deny里面，后面调试了一下能加进去了，发现屏蔽无效，后来排查了一下，发现是openssh编译安装时有些模块没添加导致的。后面改为用iptables 直接屏蔽，效果还行，比较讨厌的是有些时候需要我手动干预。

此时很想自己写一个脚本实现全自动屏蔽，但是最近太忙了，一直没有时间，在网上查资料时正好看到，“抚琴煮酒” http://andrewyu.blog.51cto.com/1604432/1074650 写的一个自动屏蔽的脚本，准备收了直接使的，放到服务器后发现脚本运行报错，于是乎。。。。。。。。就和team里的人弄了一个，用 /etc/hosts.deny 和iptables 一块屏蔽，因为不是所有的服务器/etc/hosts.deny 都生效，防火墙比较来劲，发现异常IP直接全部屏蔽。

more /workspace/crontab/denyhost.sh 
 #!/bin/bash

 log=/workspace/crontab/denyhostmessage
 DEFINE=100
 grep 'Failed password' /var/log/messages |awk '{print $(NF-3)}' |sort |uniq -c > $logfor i in `cat $log|awk '{print $2}'`
 do
         NUM=`grep $i $log|awk '{print $1}'`
         if [ $NUM -gt $DEFINE ]
         then
         grep $i /etc/hosts.deny > /dev/null
                 if [ $? -gt 0 ]
                 then
                 echo "ALL:$i" >> /etc/hosts.deny
                 iptables -I INPUT -s $ip -j DROP
                 fi
         fi
 done