Shell脚本防攻击一例

发表于:2012-5-31 09:57  作者:yunweixiaoyu   来源:51Testing软件测试网采编

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: Linux shell 操作系统

  不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。

  迅速查看一下nginx的访问日志

  #tail -f access.log

  貌似全是像这样的状态。

  我先紧急手动封了几个访问量比较大的Ip。

  1. #iptables -A INPUT -s 83.187.133.58 -j DROP 
  2. #iptables -A INPUT -s 80.171.24.172 -j DROP 
  3. ......

  紧急封了几个ip后,负载降了一些了,网站访问速度有所提升了,但是不一会,又来了一批新的Ip, 受不了了,看来要出绝招了。写了shell脚本,让他逮着了,就封。发现他攻击的状态都相同,每一个攻击ip后面都有 HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我们就来搜这个字段。

  1. #vim fengip.sh 
  2. #! /bin/bash 
  3. for i in `seq 1 32400` 
  4. do 
  5. sleep 1 
  6. x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` 
  7. if [ -z "$x" ];then 
  8. echo "kong" >>/dev/null 
  9. else 
  10. for ip in `echo $x` 
  11. do 
  12. real=`grep -l ^$ip$ all` 
  13. if [ $? -eq 1 ];then 
  14. echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP 
  15. iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP 
  16. echo $ip >>all 
  17. fi 
  18. done 
  19. fi 
  20. done

  脚本写好了。如图


21/212>

评 论

论坛新帖



建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海信义律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2022, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道