#!/usr/bin/bash
# 通过lastb获取登录失败的IP及登录失败的次数
lastb | awk '{print $3}' | grep ^[0-9] | sort | uniq -c | awk '{print $1"\t"$2}' > /tmp/host_list
list=`cat /tmp/host_list`
line=`wc -l /tmp/host_list | awk '{print $1}'`
count=1
# 如果/tmp/host_list中有数据,循环至少需要执行一次
while [[ "$line" -ge "$count" ]]; do
ip_add=`echo $list | awk '{FS="\t"} {print $2}'`
num=`echo $list | awk '{FS="\t"} {print $1}'`
# 登录失败达到5次就将该IP写入文件
if [[ "$num" -ge 5 ]]; then
grep "$ip_add" /etc/hosts.deny &> /dev/null
if [[ "$?" -gt 0 ]]; then
# --------> 此处添加当前系统时间,请根据实际情况定义日期格式
echo "# $(date +%F' '%H:%M:%S)" >> /etc/hosts.deny
echo "sshd:$ip_add" >> /etc/hosts.deny
fi
fi
let count+=1
# 删除已经写入文件的IP
sed -i '1d' /tmp/host_list
# 修改$list变量
list=`cat /tmp/host_list`
done
# 清空临时文件
echo '' > /tmp/host_list
exit 0可以搭配crontab定时监测
crontab -l
*/5 * * * * /root/sss.sh > /dev/null 2>&1另一种方式
#!/bin/bash
#登录失败次数大于10的ip
#IP=$(awk '/Failed/{print $(NF-3)}' /var/log/secure | sort |uniq -c |awk '{if($1>10) print $2}')
#hostdeny=/etc/hosts.deny
#for i in $IP
#do
#如果ip不存在,则写入deny文件
#if [ ! $(grep $i $hostdeny) ];
#then
#echo "exception ip : $i"
#echo "sshd:$i" >> $hostdeny
#fi
#done
# =================================
# 屏蔽每小时SSH暴力破解超过10次的ip
# =================================
DATE=$(date +"%a %b %e %H")
# %星期 %月 %天 %时 其中,星期、月都是英文简写显示;用于匹配lastb
# %e:单数字时显示7;而%d显示07
ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>5)print i}')
# lastb:上次登录失败的记录
# grep "$DATE":匹配当前分钟内的ssh失败记录
# {for(i in a)if(a[i]>10)print i}:小括号表示判断条件
echo
echo "以下ip每小时超过10次登陆失败"
echo
for IP in $ABNORMAL_IP; do
# 查看系统黑名单中是否已存在需要屏蔽的ip
insert_ip=`grep "$IP" /etc/hosts.deny | wc -l`
if [ $insert_ip -le 0 ] ; then
echo "屏蔽IP:$IP"
echo "sshd:${IP}" >> /etc/hosts.deny
else
echo "IP:$IP 已存在系统黑名单中"
fi
done正文完
