1.先把sshd登录这块给他搞定
#!/bin/bash
rm -rf /home/shell/ip_list
cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list
#cat /var/log/secure | grep "Invalid user" | awk '{print$(NF-2)}' | sort | uniq -c > /home/shell/ip_list
# cat /var/log/secure | grep "Received disconnect from " | awk '{print$(NF-4)}' | awk -F: '{print$1}' | sort | uniq -c >> /home/shell/ip_list
DEFINE=20
cat /home/shell/ip_list | while read line
do
IP=`echo $line | awk '{print$2}'`
NUM=`echo $line | awk '{print$1}'`
if [ $NUM -gt $DEFINE ]; then
grep $IP /etc/hosts.deny > /dev/null 2>&1
if [ $? -gt 0 ]; then
echo "sshd:$IP:deny # ="`date +%s` >> /etc/hosts.deny
fi
fi
done
#封禁段时间的IP进行解封,如果解封时间小于日志文件生成周期,会出现重复封禁、解封情况。特别是有的系统不会按指定时间重新生成secure日志文件。暂未解决重复封禁IP问题
rm -rf /home/shell/list /home/shell/list1 #删除临时文件,如果有的话
TIMES=`date +%s` #记录当前系统时间,用于跟已经封禁的IP进行对比
cat /etc/hosts.deny | grep "sshd" > /home/shell/list #检查/etc/hosts.deny文件中是否有已经封禁的IP,如果有,则写入/home/shell/list文件,以供后面筛选
if [ $? -eq 0 ] #如果上一条命令执行成功(即有被封禁IP),则执行后面的操作
then
cat /etc/hosts.deny | awk -F'=' '{print$2}' | sed '/^$/d' > /home/shell/list1 #将所有已经封禁的IP信息进行过滤,过滤出时间信息,写入/home/shell/list1文件
cat /home/shell/list1 | while read line #通过while循环,依次读取时间信息
do
DATES=$[ TIMES-line ] #将当前时间跟IP封禁时间进行运算
if [ $DATES -ge 604800 ] #如果封禁IP时间大于指定时间(这里是7天转换后的秒数),则继续执行后面的操作
then
lines=` head -n 1 /home/shell/list ` #将符合解封时间的信息写入变量,方便后面删除
# sed -i '/'"$line"'/d' /home/shell/list1 #删除时间信息临时文件,这条可要可不要,因为前面是通过while 循环依次读取,不会重复读取第一行
sed -i '/'"$lines"'/d' /etc/hosts.deny /home/shell/list #删除符合解封的IP记录。
fi
done
else #如果检查/etc/hosts.deny文件中没有被封禁的关于SSHD登录IP,则直接执行下面的命令(即退出脚本)。
echo '没有需要解封的IP'
exit 0
fi1.1 crontab -e 添加到任务跑着。每2分钟跑一次 */2 * * * * /bin/bash /你的shell位置
2.检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。
/var/log/其他日志说明:
/var/log/message 一般信息和系统信息
/var/log/secure 登陆信息
/var/log/maillog mail记录
/var/log/utmp
/var/log/wtmp登陆记录信息(last命令即读取此日志)
3、输入查看最近登录命令:
last
lastb
