免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 Shell 如果分析log自动屏蔽攻击ip?分析log的脚本有了,求自动 ...
最近访问板块 发新帖
查看: 2297 | 回复: 6
打印 上一主题 下一主题

[系统管理] 如果分析log自动屏蔽攻击ip?分析log的脚本有了,求自动屏蔽部分 [复制链接]

symeteor

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-09-04 21:35 |只看该作者 |倒序浏览
主要是自动分析apache的log,然后找出可能是攻击的ip,然后自动添加到ipfw的屏蔽列表里

分析log可以用下面的脚本
tail -10000 /web/log/access.log | awk '{print $1}' | sort | uniq -c | sort

输出是类似这样的结果
100 122.245.167.138
100 58.60.109.77
101 180.108.255.44
102 113.235.119.39
104 14.214.153.196
109 60.161.84.145
116 116.25.4.52
117 112.80.142.126
126 222.170.151.83
131 119.55.128.146
138 218.13.205.63
159 70.52.150.143
162 180.127.16.203
166 1.58.89.185

如果某ip超过3000,可以判断为攻击源,希望可以自动添加到ipfw的屏蔽列表
命令用
ipfw add 246 deny all from 116.114.17.182 to any

红色部分需要变化,请教这个脚本如何去写?
zooyo

论坛徽章:
3
2015年辞旧岁徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:51:162015年亚洲杯之阿曼 日期:2015-04-07 20:00:59
2 [报告]
发表于 2012-09-04 23:22 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
rdcwayx

论坛徽章:
15
2015年辞旧岁徽章 日期:2015-03-03 16:54:15双鱼座 日期:2015-01-15 17:29:44午马 日期:2015-01-06 17:06:51子鼠 日期:2014-11-24 10:11:13寅虎 日期:2014-08-18 07:10:55酉鸡 日期:2014-04-02 12:24:51双子座 日期:2014-04-02 12:19:44天秤座 日期:2014-03-17 11:43:36亥猪 日期:2014-03-13 08:13:51未羊 日期:2014-03-11 12:42:03白羊座 日期:2013-11-20 10:15:18CU大牛徽章 日期:2013-04-17 11:48:45
3 [报告]
发表于 2012-09-05 07:59 |只看该作者
本帖最后由 rdcwayx 于 2012-09-05 10:00 编辑

不清楚246如何得到,先看看这个:
先不要带 |sh 运行,命令确认后,再加 |sh
  1. tail -10000 /web/log/access.log | awk '{a[$1]++}END{for (i in a) if (a[i]>3000) printf "ipfw add 246 deny all from %s to any\n", i}'  |sh
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
symeteor

论坛徽章:
0
4 [报告]
发表于 2012-09-05 14:23 |只看该作者
zooyo 发表于 2012-09-04 23:22
请问 246 是怎么来的


246只是表示这个规则的顺序代码
比65535小即可
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zyj19871215

论坛徽章:
0
5 [报告]
发表于 2012-09-05 17:50 |只看该作者
source_ip=($(netstat -an |grep ..*:80|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|awk '$1>=3000 {print $2}'))
x=${source_ip[0]}
if [ -n "$x" ]
then
         for i in ${source_ip[@]}
         do
         iptables -A INPUT -s ${i} -p tcp --dport 80 -j DROP
         done
else
         exit 0
fi
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zyj19871215

论坛徽章:
0
6 [报告]
发表于 2012-09-05 17:52 |只看该作者
感觉不要从日志中提取IP,直接他们访问你80端口从netstat -an中调取,如上小脚本,加到计划任务中
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
cjaizss

论坛徽章:
3
2015年迎新春徽章 日期:2015-03-04 09:56:11数据库技术版块每日发帖之星 日期:2016-08-03 06:20:00数据库技术版块每日发帖之星 日期:2016-08-04 06:20:00
7 [报告]
发表于 2012-09-05 20:59 |只看该作者
tail -10000 /web/log/access.log | awk '{print $1}' | sort | uniq -c | awk '$1>3000{print "ipfw add 246 deny all from "$2" to any"}'|sh
可以吗
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP