Shell脚本防攻击一例

http://yaozb.blog.51cto.com/2762349/882176

 

 

 

 

 

 

  不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。
迅速查看一下nginx的访问日志:
#tail -f access.log

Shell脚本防攻击一例_第1张图片
貌似全是像这样的状态。

我先紧急手动封了几个访问量比较大的Ip。

 

 

    #vim fengip.sh
    
    #! /bin/bash
    for i in `seq 1 32400`
    do
    sleep 1
    x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq`
    if [ -z "$x" ];then
    echo "kong" >>/dev/null
    else
    for ip in `echo $x`
    do
    real=`grep -l ^$ip$ all`
    if [ $? -eq 1 ];then
    echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    echo $ip >>all
    fi
    done
    fi
    done

 

脚本写好了。如图

Shell脚本防攻击一例_第2张图片

我们来运行一下,运行几分钟后,如下图所示

Shell脚本防攻击一例_第3张图片


经过半个小时的观察,服务器负载也降到0.几了,脚本也不断在封一些CC攻击的ip。
一直让他运行着,晚上应该能睡个好觉了。


下来我们来对脚本进行解释一下

 

 

    #vim fengip.sh
    
    #! /bin/bash
    Touch all    #建立all文件,后面有用到
    for i in `seq 1 32400` #循环32400次,预计到早上9点的时间
    do
    sleep 1
    
    x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的访问日志,取出包含 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序,去重复
    if [ -z "$x" ];then
    echo "kong" >>/dev/null #如果$x是空值的话,就不执行操作,说明500行内,没有带 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行
    else
    for ip in `echo $x` #如果有的话,我们就遍历这些ip
    do
    real=`grep -l ^$ip$ all` #查看all文件里有没有这个ip,因为每封一次,后面都会把这个ip写入all文件,如果all文件里面有这个ip的话,说明防火墙已经封过了。
    if [ $? -eq 1 ];then #如果上面执行不成功的话,也就是在all文件里没找到,就用下面的防火墙语句把ip封掉,并把ip写入all文件
    echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    echo $ip >>all
    fi
    done
    fi
    done

 

 

 

 

 

你可能感兴趣的:(shell脚本)