近來郵件服務器郵箱密碼老是受到暴力猜測,所以寫個腳本掛上去,自動擋掉其IP。
腳本工作,定期查詢maillog日誌,統計一定時間段內登錄失敗的IP地址的總數。超過觸發值的調用
iptables將其deny掉。
腳本如下:
#/bin/bash
my_dir="/tools/denymail"
tail -n 100000 /var/log/maillog|grep "LOGIN FAILED"|awk '{print $9}'|sort|awk -F: '{print $4}'|awk -F ] '{print $1}'|uniq -c|awk '$1 > 50 {print $1,$2}' > /$my_dir/tmp.txt
while read LINE
do
COUNT=$(echo $LINE | awk '{print $1}')
IP=$(echo $LINE | awk '{print $2}')
IPSUB=$(echo $IP|awk -F. '{print $1"."$2}')
if [ $COUNT -gt 50 ];then
grep $IP $my_dir/white.txt > /dev/null
if [ $? -gt 0 ];then
grep $IPSUB $my_dir/white.txt > /dev/null
if [ $? -gt 0 ];then
grep $IP $my_dir/black.txt > /dev/null
if [ $? -gt 0 ];then
iptables -I INPUT -p tcp -s $IP -j DROP
echo $IP >> $my_dir/black.txt
fi
fi
fi
fi
done < $my_dir/tmp.txt會在腳本所在目錄下生成3個文件,tmp.txt(這個是臨時產生的文件) , white.txt(這個是需要排除的網段或ip地址) , black.txt(這個是用於存儲已經被自動deny掉的IP地址)文件。
White文件書寫格式:
192.168.0.0 #腳本這裏我只做192.168前面兩區間的比對,如10.10.X.X
102.14.7.13
然後添加crontab計劃任何每小時執行一次。
vim /etc/crontab
01 * * * * root /bin/sh /tools/denymail/denymail.sh