Shell脚本防攻击一例 推荐
2012-05-30 00:26
253 查看
不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。
迅速查看一下nginx的访问日志:
#tail -f access.log
![](http://blog.51cto.com/attachment/201205/003111837.jpg)
貌似全是像这样的状态。
我先紧急手动封了几个访问量比较大的Ip。
紧急封 了几个ip后,负载降了一些了,网站访问速度有所提升了,但是不一会,又来了一批新的Ip, 受不了了,看来要出绝招了。写了shell脚本,让他逮着了,就封。发现他攻击的状态都相同,每一个攻击ip后面都有 HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我们就来搜这个字段。
脚本写好了。如图
![](http://blog.51cto.com/attachment/201205/002802729.jpg)
我们来运行一下,运行几分钟后,如下图所示
![](http://blog.51cto.com/attachment/201205/002409218.jpg)
经过半个小时的观察,服务器负载也降到0.几了,脚本也不断在封一些CC攻击的ip。
一直让他运行着,晚上应该能睡个好觉了。
下来我们来对脚本进行解释一下。
脚本很简单,大牛略过啊。。。
有什么不明白话,欢迎加QQ一起探讨学习 QQ:410018348
最后推广一下我的网站 看电影网
迅速查看一下nginx的访问日志:
#tail -f access.log
![](http://blog.51cto.com/attachment/201205/003111837.jpg)
貌似全是像这样的状态。
我先紧急手动封了几个访问量比较大的Ip。
#iptables -A INPUT -s 83.187.133.58 -j DROP #iptables -A INPUT -s 80.171.24.172 -j DROP ......
紧急封 了几个ip后,负载降了一些了,网站访问速度有所提升了,但是不一会,又来了一批新的Ip, 受不了了,看来要出绝招了。写了shell脚本,让他逮着了,就封。发现他攻击的状态都相同,每一个攻击ip后面都有 HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我们就来搜这个字段。
#vim fengip.sh #! /bin/bash for i in `seq 1 32400` do sleep 1 x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` if [ -z "$x" ];then echo "kong" >>/dev/null else for ip in `echo $x` do real=`grep -l ^$ip$ all` if [ $? -eq 1 ];then echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP echo $ip >>all fi done fi done
脚本写好了。如图
![](http://blog.51cto.com/attachment/201205/002802729.jpg)
我们来运行一下,运行几分钟后,如下图所示
![](http://blog.51cto.com/attachment/201205/002409218.jpg)
经过半个小时的观察,服务器负载也降到0.几了,脚本也不断在封一些CC攻击的ip。
一直让他运行着,晚上应该能睡个好觉了。
下来我们来对脚本进行解释一下。
#vim fengip.sh #! /bin/bash Touch all #建立all文件,后面有用到 for i in `seq 1 32400` #循环32400次,预计到早上9点的时间 do sleep 1 x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的访问日志,取出包含 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序,去重复 if [ -z "$x" ];then echo "kong" >>/dev/null #如果$x是空值的话,就不执行操作,说明500行内,没有带 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行 else for ip in `echo $x` #如果有的话,我们就遍历这些ip do real=`grep -l ^$ip$ all` #查看all文件里有没有这个ip,因为每封一次,后面都会把这个ip写入all文件,如果all文件里面有这个ip的话,说明防火墙已经封过了。 if [ $? -eq 1 ];then #如果上面执行不成功的话,也就是在all文件里没找到,就用下面的防火墙语句把ip封掉,并把ip写入all文件 echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP echo $ip >>all fi done fi done
脚本很简单,大牛略过啊。。。
有什么不明白话,欢迎加QQ一起探讨学习 QQ:410018348
最后推广一下我的网站 看电影网
相关文章推荐
- 使用keepalived+shell脚本线上系统热备一例 推荐
- Shell脚本防攻击一例
- 查看Linux服务器网卡流量小脚本shell和Python各一例 推荐
- 一起学shell之(七)产生脚本以及Awk的惊人表现 推荐
- 通过脚本案例学习shell(二) --- 通过线性显示/etc/passwd内容了解while read用法 推荐
- 通过Shell数组传参控制Sql脚本串并行调度一例
- 【APP】Shell脚本简单总结及编写脚本中的小技巧 推荐
- 通过脚本案例学习shell(五) 通过创建DNS脚本一步一步教你将一个普通脚本规范到一个生产环境脚本 推荐
- shell脚本:查看KVM虚拟机中的网卡信息(不需要进入启动或进入虚拟机) 推荐
- shell脚本编程之选择控制结构 推荐
- shell监控MySQL主从状态脚本两则 推荐
- 简易登录,批量执行命令,批量copy文件shell脚本【Linux运维之道之脚本案例】 推荐
- 开发自动化系统管理脚本(shell) 推荐
- 【shell】推荐一份写测试shell脚本不错的资料
- CentOS6.x下通过shell脚本交互安装Web服务 推荐
- shell脚本一键安装php7的实例(推荐)
- shell脚本:监控HTTP服务的状态(测试返回码) 推荐
- Puppet根据节点机器名推送并自动执行SHELL脚本 推荐
- 通过脚本案例学习shell(四) --- 通过脚本初始化并加固新安装的Linux系统 推荐
- [SHELL] LINUX流量监控脚本 推荐