贝壳主机网
注意:部分文章发布时间较长,可能存在未知因素,购买时建议在本站搜索商家名称,先充分了解商家动态。
交流:唯一投稿邮箱:hostvps@88.com。
第一个脚本是通过查找日志中访问次数过多的ip,并用iptables屏蔽,600秒解封。123456789101112131415161718#!/bin/bashbtime=600becur=`date -d “1 minute ago” +%H%M%S`badip=`tac /home/www.centos.bz/log/access.log | awk -v a=”$becur” -F [‘ ‘:] ‘{t=$5$6$7;if (t>=a) print} else {exit;}’ | egrep -v “.(gif|jpg|jpeg|png|css|js)” | awk ‘{print $1}’ | sort | uniq -c | awk ‘{if ($1>=20) print $2}’`if [ ! -z “$badip” ];thenfor ip in $badip;doif test -z “`/sbin/iptables -nL | grep $ip`”;then/sbin/iptables -I INPUT -s $ip -j DROPUNBAN_SCRIPT=`mktemp /tmp/unban.XXXXXXXX`echo ‘#!/bin/sh’ > $UNBAN_SCRIPTecho “sleep $btime” >> $UNBAN_SCRIPTecho “/sbin/iptables -D INPUT -s $ip -j DROP” >> $UNBAN_SCRIPTecho “rm -f $UNBAN_SCRIPT” >> $UNBAN_SCRIPT. $UNBAN_SCRIPT &fidonefi将此代码保存为ban.sh,加入cronjob使每分钟执行一次。 此脚本的作用是:利用iptables屏蔽每分钟访问页面超过20的IP,这些页面已经排除图片,css,js等静态文件。 第二个脚本是通过在日志中查找cc攻击的特征进行屏蔽。1234567891011#!/bin/bashkeyword=”cc-atack”badip=`tail -n 5000 /home/www.centos.bz/log/access.log | grep “$keyword” | awk ‘{print $1}’ | sort | uniq -c | sort -nr | awk ‘{print $2}’`if [ ! -z “$badip” ];thenfor ip in $badip;doif test -z “`/sbin/iptables -nL | grep $ip`”;then/sbin/iptables -I INPUT -s $ip -j DROPfidonefikeyword则是日志中cc的特征,替换成有效的即可。转载,文章来源:http://www.centos.bz/2012/06/linux-cc-attack-shell-script/
