Shell Script: 來最多次的 IP, 抓前 10 名

一隻簡單的 Bash Script, 找出暴力攻擊 Server 的 IP, 然後不得已的情況, 就是把他擋掉....

Shell Script: tail -1000 /var/log/apache2/www-access.log | awk '{print $1}' | sort | uniq -c | sort -n | tail

取最後進來的 1000 筆 access log 來看, 觀察一下有沒有太誇張的 IP (特別是看有沒有是特別來亂的, ex: 開始亂塞些惡意的值)

列出大致如下:

次數和 IP
10 xxx.xxx.xxx.x
100 xxx.xx.xx.x
300 xx.xx.x.x
... 等 10 筆

再去 grep 最大量的那些 IP, 看看是不是來亂的, 如果是來亂的, 擋掉這個IP, 或視情況擋掉那個網段(Linux):

擋掉 100.100.1.1 的 IP: iptables -I INPUT -s 100.100.1.1 -j DROP
擋掉 100.100.0.0 整個網段: iptables -A INPUT -s 100.100.0.0/24 -j DROP
解除: iptables -D INPUT -s 100.100.1.1 -j DROP

相關

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活. 檢視「Tsung」的全部文章

在〈Shell Script: 來最多次的 IP, 抓前 10 名〉中有 8 則留言

日落表示:

2008 年 03 月 14 日19:18:30

習慣 pf 的說：P

回覆
Tsung表示:

2008 年 03 月 14 日19:42:29

pf 是指 http://www.openbsd.org/faq/pf/ 這個嗎? (bsd only?)

回覆
cvictor表示:

2008 年 03 月 17 日04:01:50

fail2ban這個套件不錯喔

回覆
Tsung表示:

2008 年 03 月 17 日09:08:25

嗯嗯, 真的是很不錯的套件, 感謝推薦~ 🙂

回覆
Antony表示:

2008 年 03 月 20 日23:41:43

Andran Reber的Blog：
http://lisas.de/blog/adrian/2008/Mar/12/

回覆
Tsung表示:

2008 年 03 月 22 日23:30:21

哈, 這真是太暴力了, 我是盡量能不封就不要封, 除非亂到太誇張... Orz...

回覆
derrick表示:

2008 年 12 月 03 日14:10:58

取最後進來的 1000 筆 access log 來看, 觀察一下有沒有太誇張的 IP (特別是看有沒有是特別來亂的, ex: 開始亂塞些惡意的值)
何為太誇張的IP或是來亂的IP
這我不懂可以說明嗎

回覆
Tsung表示:

2008 年 12 月 03 日15:44:00

這還是得要看你的量而定, 如果你的量很大, 但是最下面 1000 筆有 500 筆都是那個 IP, 那應該就是太誇張了, 所以得再自己看情況.

回覆

發表迴響取消回覆

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料。

「華南銀行導入生成式AI 的應用場景 - 2024 - Tsung's Blog」於〈玉山銀行內部的12種 AI 應用服務場景 - 2024〉發佈留言2024 年 11 月 19 日
[…] 有整理玉山銀行對目前…
「Tsung」於〈2024年十大流行用語、新名詞〉發佈留言2024 年 11 月 14 日
新的名詞嗎？這是什麼意思？
「Boy」於〈2024年十大流行用語、新名詞〉發佈留言2024 年 11 月 14 日
我破了
「Tsung」於〈關於我〉發佈留言2024 年 11 月 05 日
這個可能沒救，先報警吧~~
「yvette」於〈關於我〉發佈留言2024 年 11 月 05 日
妳好我想請妳幫幫忙我被人詐騙想問有…