linux服务器被SSH暴力破解引发的安全加固计划之打流氓脚本

Posted 2021-06-27 闭关苦炼内功

又遇流氓，服务器被疯狂ssh暴力攻击，
lastb 查看哪些流氓搞的

上次被攻击后前几天才重装的系统，沃尼玛，又开始了，索性，密码搞个64位复杂度的，自动生成工具：https://suijimimashengcheng.bmcx.com/

密码复杂一时半会破不开

由于openssh版本是这个

所以采取一下解决方案

然后造了个拉黑脚本，就是下面要分享的

---

#!/bin/bash
# Script: /usr/local/cron/ssh_scan.sh
# Author 闭关苦炼内功
# @Site : https://qchenz.blog.csdn.net/
# Date: 2021-06-11

# =================================
# 屏蔽每小时SSH暴力破解超过1次的ip
# =================================

DATE=$(date +"%a %b %e %H")
# %星期 %月 %天 %时 其中，星期、月都是英文简写显示；用于匹配lastb
# %e:单数字时显示7;而%d显示07

ABNORMAL_IP=$(lastb |grep "$DATE" |awk '{a[$3]++}END{for(i in a)if(a[i]>1)print i}')
# lastb：上次登录失败的记录
# grep "$DATE"：匹配当前分钟内的ssh失败记录
# {for(i in a)if(a[i]>1)print i}：小括号表示判断条件

echo
echo "以下ip每小时超过1次登陆失败"
echo 
for IP in $ABNORMAL_IP; do

    # 查看系统黑名单中是否已存在需要屏蔽的ip
    insert_ip=`grep "$IP" /etc/hosts.deny | wc -l`
    if [ $insert_ip -le 0 ] ; then
        echo "屏蔽IP：$IP"
        echo "sshd:${IP}:deny" >> /etc/hosts.deny
    else
        echo "IP：$IP 已存在系统黑名单中"
    fi
done

# 重启ssh服务生效
systemctl restart sshd

echo
echo "屏蔽完成"
echo

执行一下脚本看下效果

查看 /etc/hosts.deny

然后 crontab 加到定时任务里边，自动扫就行了，有流氓想ssh暴力破解，直接拉黑

* * * * * for i in `seq 120`; do /usr/local/cron/ssh_scan.sh & sleep 0.5; done

---

加上以后，就管用了

注意，防火墙一定要开着哦

---

打完收工！右边肩膀疼skr
欢迎一起打流氓！

睡了，晚安！

下期预告：firewalld防火墙自动打流氓