买了一台VPS服务器,在调试过程中发现,琢磨这两台服务器的 小黑 太多了,各种密码探测 扫描,他大爷的真是闲的蛋疼的人很多啊。我就先装了一个denyhost顶住,就几天的时间,收了不少报警邮件,发现denyhost没能吧哪些恶意IP地址加到/etc/hosts.deny里面,后面调试了一下能加进去了,发现屏蔽无效,后来排查了一下,发现是openssh编译安装时有些模块没添加导致的。 后面改为用iptables 直接屏蔽,效果还行,比较讨厌的是有些时候需要我手动干预。
在网上查资料时正好看到, 写的一个自动屏蔽的脚本,准备收了直接使的,放到服务器后发现脚本运行报错,于是乎 。。。。。。。。就和team里的人弄了一个,用 /etc/hosts.deny 和iptables 一块屏蔽,因为不是所有的服务器/etc/hosts.deny 都生效,防火墙比较来劲,发现异常IP直接全部屏蔽。
more /workspace/crontab/denyhost.sh
#!/bin/bash
log=/workspace/crontab/denyhostmessage
DEFINE=100
grep 'Failed password' /var/log/messages |awk '{print $(NF-3)}' |sort |uniq -c > $log
for i in `cat $log|awk '{print $2}'`
do
NUM=`grep $i $log|awk '{print $1}'`
if [ $NUM -gt $DEFINE ]
then
grep $i /etc/hosts.deny > /dev/null
if [ $? -gt 0 ]
then
echo "ALL:$i" >> /etc/hosts.deny
iptables -I INPUT -s $ip -j DROP
fi
fi
done
