之前写的AutoBan 1.0脚本在写好后的很长一段时间里都没什么人来爆破我的8022端口,以至于我觉得这种情况将一直持续下去。直到昨天晚上0点的时候,那时候我正在看奥运会回放,苏炳添的9.83创造了历史让我振奋不已,振奋之余 我向往常一样查看了一下frp的日志文件,让我吃惊的事情发生了。
有两个ip从9点半开始一直不间断地发起ssh请求,已经整整爆破了两个半小时了。
为什么我的autoban.sh没有ban掉它们? 我看了一下我的autoban.log。
我发现了我的AutoBan的重大问题,那个脚本是如何判断的呢?就是从frp日志文件里取出后三条记录,如果它们都是ssh请求,且它们都是同一个ip发起的,并且相互间隔不超过5s种,那就ban掉这个ip,条件太过严苛,在昨天晚上的情景中,首先每次请求的时间间隔大于5s,还是两个ip几乎交叉请求,我的自动ban脚本一代无能为力,同时还有一个不利因素,就是我之前因为没人来扫我,我就把脚本自动运行时间设置成了5分钟,也大大降低了脚本的威力。
time=`date '+%Y/%m/%d %H:'``date -d '1 minute ago' '+%M'`':[00-59]'
num=`grep "$time" /root/frp_0.37.0_linux_386/nohup.out | grep -c 'ssh'`
echo "`date '+%Y/%m/%d %H:%M:%S'` 过去一分钟的ssh请求个数为: $num" >> /root/frp_0.37.0_linux_386/autoban2.log
if [ $num -ge 3 ]
then
echo "`date '+%Y/%m/%d %H:%M:%S'` 过去一分钟的ssh请求个数大于3,开始反击!" >> /root/frp_0.37.0_linux_386/autoban2.log
ips=(`grep "$time" /root/frp_0.37.0_linux_386/nohup.out | grep 'ssh' | awk '{print substr($NF, 2, index($NF, ":")-2 )}'`)
declare -A ipinfo
for ip in ${ips[@]}
do
let ipinfo[$ip]++
done
for ip in ${!ipinfo[@]} #数组前面加叹号表示取下标,而不是取值
do
num=${ipinfo[${ip}]}
echo "`date '+%Y/%m/%d %H:%M:%S'` $ip 访问次数: $num" >> /root/frp_0.37.0_linux_386/autoban2.log
if [ $num -ge 3 ]
then
echo "`date '+%Y/%m/%d %H:%M:%S'` 该ip在1分钟内访问超过三次,已经锁定,准备开ban!" >> /root/frp_0.37.0_linux_386/autoban2.log
iptables -I INPUT -p tcp -s $ip --dport 8022 -j DROP
echo "`date '+%Y/%m/%d %H:%M:%S'` 已经成功ban掉恶意ip $ip" >> /root/frp_0.37.0_linux_386/autoban2.log
fi
done
fi
ps:麻烦这两位老哥看到后不要再扫我了2333
grep '2021/08/02 15:10:[00-59]'
的筛选用法和 grep -c
的对结果的行数统计功能date -d '1 minute ago' '+%M
这种返回一分钟前的分钟数这种看似不可思议的究极智能的用法。|
,实现在将前一个grep的结果作为后一个grep的输入,实现多关键字匹配的问题。(())
消失了。