黑帽联盟

 找回密码
 会员注册
查看: 2064|回复: 0
打印 上一主题 下一主题

[脚本语言] Shell脚本防CC攻击实战

[复制链接]
yun 黑帽联盟官方人员 

920

主题

37

听众

1364

积分

超级版主

Rank: 8Rank: 8

  • TA的每日心情
    奋斗
    2019-10-18 11:20
  • 签到天数: 678 天

    [LV.9]以坛为家II

    我朋友之前的服务器不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。

    迅速查看一下nginx的访问日志:
    #tail -f access.log

    003111837.jpg


    貌似全是像这样的状态。

    我先紧急手动封了几个访问量比较大的Ip。

    1. #iptables -A INPUT -s 83.187.133.58 -j DROP
    2. #iptables -A INPUT -s 80.171.24.172 -j DROP
    3. ......
    复制代码

    紧急封 了几个ip后,负载降了一些了,网站访问速度有所提升了,但是不一会,又来了一批新的Ip, 受不了了,看来要出绝招了。写了shell脚本,让他逮着了,就封。发现他攻击的状态都相同,每一个攻击ip后面都有 HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我们就来搜这个字段。

    1. #vim fengip.sh

    2. #! /bin/bash
    3. for i in `seq 1 32400`
    4. do
    5. sleep 1
    6. x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq`
    7. if [ -z "$x" ];then
    8. echo "kong" >>/dev/null
    9. else
    10. for ip in `echo $x`
    11. do
    12. real=`grep -l ^$ip$ all`
    13. if [ $? -eq 1 ];then
    14. echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    15. iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    16. echo $ip >>all
    17. fi
    18. done
    19. fi
    20. done
    复制代码

    脚本写好了。如图

    002802729.jpg


    我们来运行一下,运行几分钟后,如下图所示

    002409218.jpg


    经过半个小时的观察,服务器负载也降到0.几了,脚本也不断在封一些CC攻击的ip。
    一直让他运行着,晚上应该能睡个好觉了。


    下来我们来对脚本进行解释一下。

    1. #vim fengip.sh

    2. #! /bin/bash
    3. Touch all    #建立all文件,后面有用到
    4. for i in `seq 1 32400` #循环32400次,预计到早上9点的时间
    5. do
    6. sleep 1

    7. x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的访问日志,取出包含 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序,去重复
    8. if [ -z "$x" ];then
    9. echo "kong" >>/dev/null #如果$x是空值的话,就不执行操作,说明500行内,没有带 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行
    10. else
    11. for ip in `echo $x` #如果有的话,我们就遍历这些ip
    12. do
    13. real=`grep -l ^$ip$ all` #查看all文件里有没有这个ip,因为每封一次,后面都会把这个ip写入all文件,如果all文件里面有这个ip的话,说明防火墙已经封过了。
    14. if [ $? -eq 1 ];then #如果上面执行不成功的话,也就是在all文件里没找到,就用下面的防火墙语句把ip封掉,并把ip写入all文件
    15. echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    16. iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
    17. echo $ip >>all
    18. fi
    19. done
    20. fi
    21. done
    复制代码

    脚本很简单,大牛略过啊。。。


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部