Linux---CentOS-Ubuntu防爆破SSH脚本

touch /etc/black.txt

#!/bin/bash
    cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /etc/black.txt
    for i in `cat  /etc/black.txt`
    do
      IP=`echo $i |awk -F= '{print $1}'`
      NUM=`echo $i|awk -F= '{print $2}'`
       if [ $NUM -gt 3 ];then
          grep $IP /etc/hosts.deny > /dev/null
        if [ $? -gt 0 ];then
          echo "sshd:$IP:deny" >> /etc/hosts.deny
        fi
      fi
    done

chmod +x /etc/secure_ssh.sh 

echo  "* * * * *  sh /etc/secure_ssh.sh" >> /etc/crontab
crontab /etc/crontab

mkdir /script
touch /script/checkBlackIp.sh
chmod 755 /script/checkBlackIp.sh /script
chown root:root /script/checkBlackIp.sh

#!/bin/sh
lastb |awk '/ssh/{print $3}' |sort |uniq -c |awk '{print $2"="$1}'  >/script/black.list
for i in `cat /script/black.list`
do
    IP=`echo $i |awk -F= '{print $1}'`
    NUM=`echo $i |awk -F= '{print $2}'`
    if [ ${#NUM} -ne 1 ]; then
        grep $IP /etc/hosts.deny >/dev/null
        if [ ! $? -eq 0 ]; then
                echo "sshd:$IP:deny" >>/etc/hosts.deny
 
                echo "$IP \c"
        fi
    fi
done
echo "is denied now."

sudo bash checkBlackIp.sh

*/2 * * * * root sh /script/checkBlackIp.sh

/var/log/auth.log Ubuntu是这个文件
/var/log/secure CentOS是这个文件

最近在学习远程连接Docker，需要开启TCP；都说容易被别人获取root权限，开始没以为然，慢慢我感觉远程操作服务器越来越缓慢，top命令后发现还真被挖矿了…第一次嘛没什么经验，简单的干掉可疑进程后重启了服务器，就没管了，结果两天后发现又被挖了…

top查看进程，占高达90%CPU以上基本都是可疑的
ls -l /proc/$PID/exe查看可疑进程所在目录
kill $PID干掉可疑进程
rm -rf $DIR删掉可疑进程所在目录
service crond status 查看是否开启了定时任务
如果开启了定时任务，就进入目录cd /var/spool/cron/，这里的文件记录着每个用户的定时任务
rm -rf $FILE删掉可疑定时任务文件
service crond stop关闭定时任务
cat ~/.ssh/authorized_keys查看配置的公钥，可能会出现一到多个没见过的公钥，编辑文件删除可疑的公钥或者重新生成密钥
cd /home/ && ls -all进入到此目录下查看可疑用户
userdel [-r] $USERNAME删除可疑用户
cat /etc/sudoers查看 sudo 文件中是否有可疑用户添加了 sudo 权限，编辑文件删除可疑用户的 sudo 权限，例如$USERNAME ALL=(ALL) ALL这种格式的