如何封杀恶意登录服务器的ip

祈杰

2023 年 05 月 11 日

401 次浏览

1 条评论

2761字数

技术笔记

前言

经常我们的服务器在深夜，往往会遭到Nmap 扫描，然后有很多ip 试探登录连接我们的服务器，那么我们该如何面对这种情况呢？

需求描述

分析Linux系统/var/log/secure安全日志文件，将黑客或者恶意登陆次数大于20次的IP地址加入Iptables防火墙黑名单；

实验步骤

首先查看安全日志文件

[root@localhost ~]# cat  /var/log/secure|more
Jun  5 10:25:56 localhost sshd[10165]: Accepted password for root from 192.168.10.1 port 58525 ssh2
Jun  5 10:25:56 localhost sshd[10165]: pam_unix(sshd:session): session opened for user root by (uid=
0)
Jun  5 10:25:59 localhost sshd[10184]: Accepted password for root from 192.168.10.1 port 58528 ssh2
Jun  5 10:25:59 localhost sshd[10184]: pam_unix(sshd:session): session opened for user root by (uid=
0)
Jun  5 12:51:19 localhost sshd[10394]: Accepted password for root from 192.168.10.1 port 64063 ssh2
Jun  5 12:51:19 localhost sshd[10394]: pam_unix(sshd:session): session opened for user root by (uid=
0)
Jun  5 13:03:00 localhost sshd[10428]: pam_unix(sshd:auth): authentication failure; logname= uid=0 e
uid=0 tty=ssh ruser= rhost=192.168.10.1  user=root
Jun  5 13:03:00 localhost sshd[10428]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met 
by user "root"
Jun  5 13:03:02 localhost sshd[10428]: Failed password for root from 192.168.10.1 port 64400 ssh2
Jun  5 13:03:06 localhost sshd[10428]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met 
by user "root"
Jun  5 13:03:08 localhost sshd[10428]: Failed password for root from 192.168.10.1 port 64400 ssh2
Jun  5 13:03:14 localhost sshd[10428]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met 
--More--

打印登录失败的ip

[root@localhost ~]# grep "Failed password" /var/log/secure |awk '{print$(NF-3)}'
192.168.10.1
192.168.10.1
192.168.10.1
192.168.10.1
192.168.10.10
192.168.10.10
192.168.10.10
192.168.10.10
192.168.10.10
192.168.10.10
192.168.10.10
192.168.10.10
192.168.10.10
[root@localhost ~]#

进行排序，统计次数

[root@localhost ~]# grep "Failed password" /var/log/secure |awk '{print$(NF-3)}'|sort|uniq -c|sort -nr
      9 192.168.10.10
      4 192.168.10.1
[root@localhost ~]#

匹配恶意登录次数大于5次的ip

[root@localhost ~]# grep "Failed password" /var/log/secure |awk '{print$(NF-3)}'|sort|uniq -c|sort -nr|awk '{if ($1>=5) print $2}'
192.168.10.10
[root@localhost ~]#

对匹配出来的做一个for循环,然后写入防火墙文件

[root@localhost ~]# for i in $(grep "Failed password" /var/log/secure|awk '{print $(NF-3)}'|sort|uniq -c|sort -nr|awk '{if($1>=5) print $2}');do sed -i "/lo/a -A INPUT -s $i -j DROP" /etc/sysconfig/iptables ;done

总结

运维安全在实际生产环境中有着很重要的地位，我们面对黑客疯狂扫描试探的时候，我就需要见流量封杀IP。如何快速封杀IP角色需要我们掌握数量掌握linux命令。特别是awk，sed。在我们脚本中很常用。一定要掌握好。

如何封杀恶意登录服务器的ip

祈杰 • 2023 年 05 月 11 日

Antergone 1
May 16th, 2023 at 12:58 am

可以借鉴老牌工具CCkiller的思路
相关介绍：https://zhang.ge/5066.html
源码地址：https://github.com/jagerzhang/CCKiller/blob/master/cckiller

回复

发表评论取消回复
发表你独特的见解吧~

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

1
1
醒了2729
访问访问你的
1585
申请交换友链，已添加贵站链接~名称: 1585博客链接：htt...
白鱼
该评论仅登录用户及评论双方可见
何物朝向死亡
我是君子，让我访问

如何封杀恶意登录服务器的ip

前言

需求描述

实验步骤

总结

1 条评论

发表评论取消回复
发表你独特的见解吧~

好消息：Linux可以运行原神了

原神启动等有趣的js

TCP，加速！BBR，启动！

如何部署Miao-Yunzai

雨天，你喜欢吗

怎么搭建虚拟机——面向小白的教程

hello，world

记录一次随手拍的晚霞

使用更高性能的zstd

RVC部署与推理训练

如何封杀恶意登录服务器的ip

前言

需求描述

实验步骤

总结

1 条评论

发表评论 取消回复 发表你独特的见解吧~

如何封杀恶意登录服务器的ip

发表评论取消回复
发表你独特的见解吧~