紧急求救，网站正在受攻击中，我该怎么办？附攻击记录

platinum

原帖由 "双眼皮的猪" 发表：
汗...
#iptables -A INPUT -p tcp --dport 22 -s 64.62.253.203 -j DROP

如果他不换ip的话用root在命令行下执行一下,我就不解释了

如果前面有 -p tcp --dport 22 -j ACCEPT，-A 就失效了，需要用 -I

platinum

原帖由 "Yuri.G." 发表：

干么要drop呢?直接给它reject回去.

为什么要 REJECT 呢？

platinum

原帖由 "carset" 发表：
HOHO

  -m mirror -j mirror

你这又是什么东西啊？

platinum

原帖由 "carset" 发表：
HOHO

  -m mirror -j mirror

MIRROR 是这样用的吗？ :wink:

platinum

原帖由 "carset" 发表：


那

-j mirror

建议你看看 iptables 手册，或者 man iptables

platinum

HOHO

-m mirror -j mirror

这里你犯了两个错误
1、MIRROR 是一个动作，而不是一个模块，没有你写的 -m mirror
2、所有的动作（LOG、ACCEPT、SNAT、DNAT、MASQUERADE、MIRROR、REJECT等）都是大写，不是小写
上面两点看 iptables 手册或者 man iptables 都可得到答案

platinum

1. 
   
2. #! /bin/bash
   
3. # platinum, 2005.07.25
   
4. SCANNER=`grep "\`date \"+ %d %H:%M\" -d \"-1min\"\`" /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $1"="$2;}'`
   
5. 
   
6. for i in $SCANNER
   
7. do
   
8.         NUM=`echo $i|awk -F= '{print $1}'`
   
9.         IP=`echo $i|awk -F= '{print $2}'`
   
10.         echo $NUM
    
11.         echo $IP
    
12.         if [ $NUM -gt 5 ] && [ -z "`iptables -vnL INPUT|grep $IP`" ]
    
13.         then
    
14.                 iptables -I INPUT -s $IP -m state --state NEW,RELATED,ESTABLISHED -j DROP
    
15.                 echo "`date` $IP($NUM)" >;>; /var/log/scanner.log
    
16.         fi
    
17. done
    

复制代码

放到 crond 里每分钟运行一次