linux指导：简单处理CC攻击shell脚本

会计考友

第一个脚本是通过查找日志中访问次数过多的ip,并用iptables屏蔽。
, K! T# @6 O7 \7 n7 O% w   
0 X2 r/ o* y4 ~1 c    1.#!/bin/bash
( T1 g1 o: {! t$ Z: a   
  e6 Q3 V0 R, r) E) m5 f    2.cur=`date +%H%M%S`
# _1 T5 a# r1 |6 {# J$ ?! m   
. z, h8 \8 ]: D2 y    3.becur=`date -d "1 minute ago" +%H%M%S`
0 x1 e4 R. a3 C" Y   
    4.badip=`tail -n 10000 /home/www/log/access.log | egrep -v "\.（gif|jpg|jpeg|png|css|js）" | awk  -v a="$becur" -v b="$cur" -F [' ':] '{t=$5$6$7;if （t>=a && t=20） print $2}'`
0 C* O7 H( h. U6 G. ?   
    5.if [ ! -z "$badip" ];then
3 n" m8 m& M& A7 f   
% C, _3 D1 i( q4 G* d% R. H    6.for ip in $badip;
8 Q; [& p' _. P4 ~   
! q/ Z( F+ m7 w: e    7.do
7 D* P1 q* L5 }" B: O+ F   
    8.if test -z "`/sbin/iptables -nL | grep $ip`";then
   
, q; h* |" o7 X, M2 U    9./sbin/iptables -I INPUT -s $ip -j DROP
3 s; D; L$ _8 _, j   
+ R7 ?" K  r8 A3 C% \4 f6 l& D* ^0 Q    10.fi
$ K  W  m* O0 B9 M   
    11.done
   
    12.fi
6 }5 Z( X. c$ O0 P% b1 k7 J7 ~' Q   
    将此代码保存为ban.sh,加入cronjob使每分钟执行一次。
, x* S8 J1 f# K: X5 m: u   
3 ]3 a  F* A5 U" {6 C/ R/ u% H7 a    此脚本的作用是：利用iptables屏蔽每分钟访问页面超过20的IP,这些页面已经排除图片，css,js等静态文件。
7 ^8 d) t7 n' p  v$ a' J7 b- ]$ P   
    第二个脚本是通过在日志中查找cc攻击的特征进行屏蔽。
   
4 f' L/ x% {* U6 t  I4 l) i    1.#!/bin/bash
   
    2.keyword="cc-atack"
' N0 e2 F6 f/ n4 |3 a   
8 }. i" M8 [+ h( B8 A    3.badip=`tail -n 5000  /home/www/log/access.log | grep "$keyword"  | awk '{print $1}' | sort | uniq -c | sort -nr | awk '{print $2}'`
   
( q$ T) t8 A2 M1 c/ B    4.if [ ! -z "$badip" ];then
   
( `. J7 j1 L4 z  f  t    5.for ip in $badip;
   
    6.do
   
    7.if test -z "`/sbin/iptables -nL | grep $ip`";then
   
4 v" V8 i2 E& C! u1 F$ {    8./sbin/iptables -I INPUT -s $ip -j DROP
: P) W  i, c& a+ O   
    9.fi
   
    10.done
   
    11.fi
+ w5 {4 J5 E+ R" _% i- a   
    keyword则是日志中cc的特征，替换成有效的即可。
   
    No tags for this post. Posted in: 建站手札