我隨便看了看/var/log/secure日志，顯示如下：

這里面除了119.145.254.77和121.88.250.243是正常的外，其它的基本都是惡意IP。


由于服務(wù)器是置于LVS集群后面，所以我原來想用iptables的recent模塊解決這個(gè)問題的方法估計(jì)是行不通的。而且，服務(wù)器的系統(tǒng)安裝的是CentOS 5.5 x86_64，iptables還暫時(shí)不支持此模塊，報(bào)錯(cuò)如下：

iptables: Unknown error 18446744073709551615
iptables: Unknown error 18446744073709551615而由于機(jī)器已經(jīng)在跑重要的業(yè)務(wù)，我又不想去升級(jí)內(nèi)核，免得影響正常的網(wǎng)站運(yùn)營，所以iptables的想法暫時(shí)告一段落;后來我又想到用HostsDeny的方法來解決這個(gè)問題，感覺這個(gè)方法還是比較繁瑣，還不如自己手動(dòng)寫腳本來解決這個(gè)麻煩，腳本內(nèi)容如下：


腳本思路如下：

由于/var/log/secure是以星期為輪詢的，所以我們每次可以查看這個(gè)文件，利用SHELL腳本統(tǒng)計(jì)出其中訪問失敗比較頻繁的IP，并定義一個(gè)閥值為100，如果大于100的話就將其放進(jìn)/etc/hosts.deny文件，阻止其繼續(xù)訪問vsftpd和ssh;然后將其寫進(jìn) crontab計(jì)劃列表里，每隔一段時(shí)間進(jìn)行一次排查，如果下次排查的某IP次數(shù)又大于100，首先檢查它在不在我們的黑名單，如果在的話就無視過去;如果不在，就繼續(xù)添加進(jìn)/etc/hosts.deny文件。

我的/etc/crontab文件最后一行為

* */1 * * * root sh /root/hosts_deny.sh即每隔1小時(shí)就重復(fù)執(zhí)行一次這個(gè)腳本，這里也有一個(gè)情況要說明下，/var/log/secure是每隔一個(gè)星期輪詢一次的，所以我們這里可以根據(jù)服務(wù)器的具體情況來配置多少時(shí)間執(zhí)行一次此腳本，頻繁的機(jī)器可適當(dāng)縮小這個(gè)周期。

我的公網(wǎng)機(jī)器運(yùn)行腳本一段時(shí)間后，/etc/hosts.deny文件如下：

最新評(píng)論