首页 › 电脑病毒论坛 › Shell脚本防攻击的方法与实例

氧气柠檬 發表於 2012-6-1 09:27:04

Shell脚本防攻击的方法与实例

不知道得罪了哪路神仙，收到nagios报警，发现有个网站有CC攻击。看样子，量还不小，把服务器的负载都弄到40+了，虽然网站还能打开，但打开也是非常的缓慢。如果不是配置高点，估计服务器早就挂掉了。看来又是不一个不眠之夜了。<br />迅速查看一下nginx的访问日志：<br />#tail -f access.log &nbsp;<br /><img border="0" alt="\" width="650" src="https://img.jbzj.com/file_images/article/201206/201206010916042.jpg" /> <br />貌似全是像这样的状态。&nbsp;<br />我先紧急手动封了几个访问量比较大的Ip。<br />#iptables -A INPUT -s 83.187.133.58 -j DROP<br />#iptables -A INPUT -s 80.171.24.172 -j DROP<br />......<br />紧急封 了几个ip后，负载降了一些了，网站访问速度有所提升了，但是不一会，又来了一批新的Ip, 受不了了，看来要出绝招了。写了shell脚本，让他逮着了，就封。发现他攻击的状态都相同，每一个攻击ip后面都有HTTP/1.1&quot; 499 0 &quot;-&quot; &quot;Opera/9.02 (Windows NT 5.1; U; ru) 的字段，那我们就来搜这个字段。<br />#vim fengip.sh<br />&nbsp;<br />#! /bin/bash<br />for i in `seq 1 32400`<br />do<br />sleep 1<br />x=`tail -500 access.log |grep 'HTTP/1.1&quot; 499 0 &quot;-&quot; &quot;Opera/9.02'|awk '{print $1}'|sort -n|uniq`<br />if [ -z &quot;$x&quot; ];then<br />echo &quot;kong&quot; &gt;&gt;/dev/null<br />else<br />for ip in `echo $x`<br />do<br />real=`grep -l ^$ip$ all`<br />if [ $? -eq 1 ];then<br />echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP<br />iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP<br />echo $ip &gt;&gt;all<br />fi<br />done<br />fi<br />done<br />脚本写好了。<br />如图<br /><img border="0" alt="\" width="650" src="https://img.jbzj.com/file_images/article/201206/201206010916043.jpg" /><br />我们来运行一下，运行几分钟后，如下图所示<br /><img border="0" alt="\" src="//img.jbzj.com/file_images/article/201206/201206010916044.jpg" /><br />经过半个小时的观察，服务器负载也降到0.几了，脚本也不断在封一些CC攻击的ip。 一直让他运行着，晚上应该能睡个好觉了。<br />下来我们来对脚本进行解释一下。<br />#vim fengip.sh<br />&nbsp;<br />#! /bin/bash<br />Touch all&nbsp;&nbsp;&nbsp; #建立all文件，后面有用到<br />for i in `seq 1 32400` #循环32400次，预计到早上9点的时间<br />do<br />sleep 1<br />&nbsp;<br />x=`tail -500 access.log |grep 'HTTP/1.1&quot; 499 0 &quot;-&quot; &quot;Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的访问日志，取出包含'HTTP/1.1&quot; 499 0 &quot;-&quot; &quot;Opera/9.02' 的行的ip并排序，去重复<br />if [ -z &quot;$x&quot; ];then<br />echo &quot;kong&quot; &gt;&gt;/dev/null #如果$x是空值的话，就不执行操作，说明500行内，没有带'HTTP/1.1&quot; 499 0 &quot;-&quot; &quot;Opera/9.02' 的行 www.jb51.net<br />else<br />for ip in `echo $x` #如果有的话，我们就遍历这些ip<br />do<br />real=`grep -l ^$ip$ all` #查看all文件里有没有这个ip，因为每封一次，后面都会把这个ip写入all文件，如果all文件里面有这个ip的话，说明防火墙已经封过了。<br />if [ $? -eq 1 ];then #如果上面执行不成功的话，也就是在all文件里没找到，就用下面的防火墙语句把ip封掉，并把ip写入all文件<br />echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP<br />iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP<br />echo $ip &gt;&gt;all<br />fi<br />done<br />fi<br />done<br />脚本很简单，大牛略过啊。。。<br />

查看完整版本: Shell脚本防攻击的方法与实例