将恶意ip加入ssh黑名单的自动化shell脚本实现 2.0

背景

之前写的AutoBan 1.0脚本在写好后的很长一段时间里都没什么人来爆破我的8022端口,以至于我觉得这种情况将一直持续下去。直到昨天晚上0点的时候,那时候我正在看奥运会回放,苏炳添的9.83创造了历史让我振奋不已,振奋之余 我向往常一样查看了一下frp的日志文件,让我吃惊的事情发生了。

突发情况

有两个ip从9点半开始一直不间断地发起ssh请求,已经整整爆破了两个半小时了。

为什么我的autoban.sh没有ban掉它们? 我看了一下我的autoban.log。

autoban日志

我发现了我的AutoBan的重大问题,那个脚本是如何判断的呢?就是从frp日志文件里取出后三条记录,如果它们都是ssh请求,且它们都是同一个ip发起的,并且相互间隔不超过5s种,那就ban掉这个ip,条件太过严苛,在昨天晚上的情景中,首先每次请求的时间间隔大于5s,还是两个ip几乎交叉请求,我的自动ban脚本一代无能为力,同时还有一个不利因素,就是我之前因为没人来扫我,我就把脚本自动运行时间设置成了5分钟,也大大降低了脚本的威力。

解决办法

  • 由于一代脚本写的过于蹩脚,判断条件也过于拉跨,遂决定重构。
  • 2代脚本的判断条件:
    1. 筛选出最近一分钟的所有ssh记录。对其ip种类、个数进行统计。
    2. 大于3条请求的ip将被直接封禁。
  • 以下是花了一个中午写出来的Autoban 2.0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
time=`date '+%Y/%m/%d %H:'``date -d '1 minute ago' '+%M'`':[00-59]'
num=`grep "$time" /root/frp_0.37.0_linux_386/nohup.out | grep -c 'ssh'`
echo "`date '+%Y/%m/%d %H:%M:%S'` 过去一分钟的ssh请求个数为: $num" >> /root/frp_0.37.0_linux_386/autoban2.log
if [ $num -ge 3 ]
then
echo "`date '+%Y/%m/%d %H:%M:%S'` 过去一分钟的ssh请求个数大于3,开始反击!" >> /root/frp_0.37.0_linux_386/autoban2.log
ips=(`grep "$time" /root/frp_0.37.0_linux_386/nohup.out | grep 'ssh' | awk '{print substr($NF, 2, index($NF, ":")-2 )}'`)
declare -A ipinfo
for ip in ${ips[@]}
do
let ipinfo[$ip]++
done

for ip in ${!ipinfo[@]} #数组前面加叹号表示取下标,而不是取值
do
num=${ipinfo[${ip}]}
echo "`date '+%Y/%m/%d %H:%M:%S'` $ip 访问次数: $num" >> /root/frp_0.37.0_linux_386/autoban2.log
if [ $num -ge 3 ]
then
echo "`date '+%Y/%m/%d %H:%M:%S'` 该ip在1分钟内访问超过三次,已经锁定,准备开ban!" >> /root/frp_0.37.0_linux_386/autoban2.log
iptables -I INPUT -p tcp -s $ip --dport 8022 -j DROP
echo "`date '+%Y/%m/%d %H:%M:%S'` 已经成功ban掉恶意ip $ip" >> /root/frp_0.37.0_linux_386/autoban2.log
fi
done
fi

成果演示

效果

locateip

ps:麻烦这两位老哥看到后不要再扫我了2333

战术总结

  • 这次我脚本比一代精简了很多,代码行数是是一代的一半,但是却实现了更好的好恶意ip判断。
  • 了解到了类似grep '2021/08/02 15:10:[00-59]'的筛选用法和 grep -c的对结果的行数统计功能
  • 了解到了date -d '1 minute ago' '+%M这种返回一分钟前的分钟数这种看似不可思议的究极智能的用法。
  • 了解到了grep 配合上管道符|,实现在将前一个grep的结果作为后一个grep的输入,实现多关键字匹配的问题。
  • 了解到了awk命令里强大的内置函数,熟悉的substr, index,梦回c++。
  • 初次见到了declare申明变量的关键字和let关键字,let关键字让丑陋的(())消失了。
  • 了解了shell中遍历数组的两种方法 for ip in ${ips[@]} 表示便利数组里的值,而 for ip in ${!ipinfo[@]} 即在数组名前加上叹号,则表示遍历下标。

将恶意ip加入ssh黑名单的自动化shell脚本实现 2.0
https://wuuconix.link/2021/08/02/AutoBan2/
作者
wuuconix
发布于
2021年8月2日
许可协议