威宁热线

威宁团菜到家

[安全维护] 简单处理CC攻击shell脚本

[复制链接]
威宁热线 发表于 2021-2-13 20:50:42 | 显示全部楼层 |阅读模式
第一个脚本是通过查找日志中访问次数过多的ip,并用iptables屏蔽。

  1. #!/bin/bash
  2. cur=`date +%H%M%S`
  3. becur=`date -d "1 minute ago" +%H%M%S`
  4. badip=`tail -n 10000 /home/www.centos.bz/log/access.log | egrep -v "\.(gif|jpg|jpeg|png|css|js)" | awk  -v a="$becur" -v b="$cur" -F [' ':] '{t=$5$6$7;if (t>=a && t<=b) print $1}' | sort | uniq -c | awk '{if ($1>=20) print $2}'`
  5. if [ ! -z "$badip" ];then
  6. for ip in $badip;
  7. do
  8. if test -z "`/sbin/iptables -nL | grep $ip`";then
  9. /sbin/iptables -I INPUT -s $ip -j DROP
  10. fi
  11. done
  12. fi
复制代码
将此代码保存为ban.sh,加入cronjob使每分钟执行一次。
此脚本的作用是:利用iptables屏蔽每分钟访问页面超过20的IP,这些页面已经排除图片,css,js等静态文件。
第二个脚本是通过在日志中查找cc攻击的特征进行屏蔽。


  1. #!/bin/bash
  2. keyword="cc-atack"
  3. badip=`tail -n 5000  /home/www.centos.bz/log/access.log | grep "$keyword"  | awk '{print $1}' | sort | uniq -c | sort -nr | awk '{print $2}'`
  4. if [ ! -z "$badip" ];then
  5. for ip in $badip;
  6. do
  7. if test -z "`/sbin/iptables -nL | grep $ip`";then
  8. /sbin/iptables -I INPUT -s $ip -j DROP
  9. fi
  10. done
  11. fi
复制代码
keyword则是日志中cc的特征,替换成有效的即可。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表