WEB开发网
开发学院软件开发Shell Shell脚本防攻击 阅读

Shell脚本防攻击

 2012-05-30 07:45:59 来源:WEB开发网   
核心提示:不知道得罪了哪路神仙,收到nagios报警,Shell脚本防攻击,发现有个网站有CC攻击,看样子,#vim fengip.sh #! /bin/bash for i in `seq 1 32400` do sleep 1 x=`tail -500 access.log |grep 'HTTP/1.1"

不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。
迅速查看一下nginx的访问日志:
#tail -f access.log

貌似全是像这样的状态。
我先紧急手动封了几个访问量比较大的Ip。

#iptables -A INPUT -s 83.187.133.58 -j DROP 
#iptables -A INPUT -s 80.171.24.172 -j DROP 

紧急封 了几个ip后,负载降了一些了,网站访问速度有所提升了,但是不一会,又来了一批新的Ip, 受不了了,看来要出绝招了。写了shell脚本,让他逮着了,就封。发现他攻击的状态都相同,每一个攻击ip后面都有 HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我们就来搜这个字段。
#vim fengip.sh

#! /bin/bash
for i in `seq 1 32400`
do
sleep 1
x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq`
if [ -z "$x" ];then
echo "kong" >>/dev/null
else
for ip in `echo $x`
do
real=`grep -l ^$ip$ all`
if [ $? -eq 1 ];then
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done

脚本写好了。如图

我们来运行一下,运行几分钟后,如下图所示

1 2  下一页

Tags:Shell 脚本 攻击

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接