最近在香港和台湾各买了一台VPS服务器,在调试过程中发现,琢磨这两台服务器的 小黑 太多了,各种密码探测 扫描,他大爷的真是闲的蛋疼的人很多啊。我就先装了一个denyhost顶住,就几天的时间,收了不少报警邮件,发现denyhost没能吧哪些恶意IP地址加到/etc/hosts.deny里面,后面调试了一下能加进去了,发现屏蔽无效,后来排查了一下,发现是openssh编译安装时有些模块没添加导致的。 后面改为用iptables 直接屏蔽,效果还行,比较讨厌的是有些时候需要我手动干预。

    此时很想自己写一个脚本实现全自动屏蔽,但是最近太忙了,一直没有时间,在网上查资料时正好看到,“抚琴煮酒”  http://andrewyu.blog.51cto.com/1604432/1074650 写的一个自动屏蔽的脚本,准备收了直接使的,放到服务器后发现脚本运行报错,于是乎 。。。。。。。。就和team里的人弄了一个,用 /etc/hosts.deny 和iptables 一块屏蔽,因为不是所有的服务器/etc/hosts.deny  都生效,防火墙比较来劲,发现异常IP直接全部屏蔽。
 

 more /workspace/crontab/denyhost.sh
#!/bin/bash

log=/workspace/crontab/denyhostmessage
DEFINE=100
grep 'Failed password' /var/log/messages |awk '{print $(NF-3)}' |sort |uniq -c > $log

for i in `cat $log|awk '{print $2}'`
do
        NUM=`grep $i $log|awk '{print $1}'`
        if [ $NUM -gt $DEFINE ]
        then
        grep $i /etc/hosts.deny > /dev/null
                if [ $? -gt 0 ]
                then
                echo "ALL:$i" >> /etc/hosts.deny
                iptables -I INPUT -s $ip -j DROP
                fi
        fi
done