|
#/var/log/auth.log 日志对服务器的登录连接做一些监控日志。?
#通过cron执行定时任务,达到监控的目的
最近公司服务器偶尔会被黑,看到大佬们在讨论和做各种迁移工作。
空下来的我在想,作为一个后端,怎么样能在服务器被黑的时候最快的时间能通知到自己呢?
于是我google了一下,如何判断服务器被黑,大致判断思路有几种:
1. w看下当前有无可疑的当前登录ip
2. last命令看下历史登录ip,查看下是否有可疑的用户
3. netstat 看下有无可疑端口和连接
4. 检查有无cpu占用较高的进程,check每个可疑的进程
如果不正常该修改密码修改密码,该关闭端口关闭端口,可以配置指定ip才能访问ssh端口
鉴于我的服务器没有什么有价值的资料,也检查了最近的服务器情况,一切正常,只是偶尔有些恶意ip一直尝试通过ssh登录服务器,所以写个shell把这些可恶的探测程序的ip禁掉吧
#!/bin/bash
if [ $# -lt 2 ];then
echo "Usage ./run time_interval invalid_cnt"
exit 0
fi
function already_reject()
{
c=`/sbin/iptables -n -L | grep $1 | wc -l`
return $c
}
function reject_ip()
{
if [ $# > 0 ];then
already_reject $1
if [ $? == 0 ];then
/sbin/iptables -A INPUT -s $1 -j DROP
fi
fi
}
now=`date "+%s"`
ss=$(($now - $1))
afn="/tmp/xxx/xxx"
fn="/tmp/xxx/xxx_$1_$now"
dfn="/tmp/xxx/xxx$1"
function make_file()
{
grep 'Failed password for' /var/log/auth.log > $1
}
make_file $afn
function filter_file()
{
if [ -f $1 ];then
while read line
do
s=`echo $line | awk '{print $1,$2,$3}'`
t=`date "+%s" -d "$s"`
if (( $t > $ss && $t <= $now ))
then
echo $line | awk '{if($9=="invalid") print $11,$13;else print $9,$11}' >> $2
fi
done < $1
fi
}
filter_file $afn $fn
function filter_illegal()
{
if [ -f $1 ];then
uniq -f 1 -c $1 | awk -v limit=$3 '{if($1 >= limit) print $3}' >> $2
fi
}
rm -f $dfn
filter_illegal $fn $dfn $2
function deal_illegal()
{
if [ -f $1 ];then
while read line
do
reject_ip $line
done < $1
fi
}
deal_illegal $dfn
第一个参数是筛查最近多少秒内的登录失败日志? 第二个参数是这段时间内尝试了多少次失败的ip会被封禁。
使用crontab部署一下:
*/5 * * * * bash /脚本的绝对路径?300 10?>> /tmp/run.log 2>> /tmp/error.log &
脚本5分钟执行一次? 前5分钟内如果同一个ip尝试登录错误超过10次就会自动被禁掉。
|