0


我的网站被攻击了,运维大佬给了我自动封禁ip的脚本。

我的网站被攻击了,发现友圈最近出现这种情况的还不少,真是神奇了,这事也能扎堆发生。

分享出来给大家,万一以后用得着呢~

故事背景

我的一个小网站最近总是收到云监控报警,一个部署在4核8G单机上的小网站。

查了log发现,我是被流量攻击了。

我招谁惹谁了呀,烦死了。昨天半夜11点收到报警短信,搞到了半夜12点,太耽误我睡觉了。

调研了一下云平台的安全服务,还挺贵,弃疗了。

我还是自己写吧,不是为了提升技术水平,单纯的为了省钱!

实现思路

首先,我的小网站访问量不高,如果某位大哥一天访问超过10次我就觉得有鬼了。

除非你是在爬我的数据~

还是你就是吃饱撑的!

有些ip定位是酱婶的,你可控制住自己,别太自由喽~

综上分析,我的实现思路如下:

  1. 监测log日志,分析访问ip。
  2. 每天ip的访问次数超过100就果断封掉。(为了避免误伤,我暂时把这个阈值设置成100,后面看情况动态调整。)

功能拆解

  1. 编写脚本,按日期拆分access.log(之前犯懒没做日志拆分,只是定时删除了访问日志)
  2. 编写定时任务,每天0点拆分访问日志
  3. 编写脚本,分析access.log访问日志,封禁当天访问次数超过100的ip
  4. 编写定时任务,每10分钟执行一次封禁ip脚本

思路是如此的清晰,奈何我并不擅长编写shell脚本,于是请教了群里的大佬,最终的实现如下:

具体实现

1. 日志拆分脚本

已经清楚的写了注释

其中

LOG_PATH

PID

换成你自己的路径

# 每天0点执行日志按日期分隔脚本 0 0 * * * cd /www/Home/ && ./log_cut.sh#!/bin/bash#此脚本⽤于⾃动分割Nginx的⽇志,包括access.log#每天00:00执⾏此脚本将前⼀天的access.log重命名为access-xxxx-xx-xx.log格式,并重新打开⽇志⽂件#Nginx⽇志⽂件所在⽬录 todo 换成你自己的LOG_PATH=/data/logs/nginx/
#获取昨天的⽇期YESTERDAY=$(date-d"yesterday" +%Y-%m-%d)#获取pid⽂件路径 todo 换成你自己的PID=/var/run/nginx.pid
#分割⽇志mv${LOG_PATH}access.log ${LOG_PATH}access-${YESTERDAY}.log
#向Nginx主进程发送USR1信号,重新打开⽇志⽂件kill-USR1`cat ${PID}`

2. 编写定时任务

# 每天0点执行日志按日期分隔脚本 
0 0 * * * cd /www/Home/ && ./log_cut.sh
  • # 代表注释
  • && 表示将两个命令连接在一起,前面的先执行,后面的再执行
  • 如果你不知道crontab的定时任务怎么编写,强烈建议你使用这个工具: crontab时间计算

使用效果如下:


简直不要太好用!

3. 编写封禁ip脚本

注释写的很清楚了:

  • logdir替换成你自己的地址
  • /tmp/nginx_deny.log 也可以设置成你自己的地址,或者用这个地址也可以。
# 每十分钟执行一次封禁ip脚本 */10 * * * * cd /www/Home/ && ./blackip.sh#!/bin/bashlogdir=/data/logs/nginx/access.log #nginx访问日志文件路径port=443#循环遍历日志文件取出访问量大于100的ip(忽略自己本地ip)fordrop_ipin$(cat $logdir |grep-v'127.0.0.1'|awk'{print $1}'|sort|uniq-c|sort-rn|awk'{if ($1>100) print $2}');do# 避免重复添加num=$(grep ${drop_ip} /tmp/nginx_deny.log |wc-l)if[$num-ge1];thencontinuefi# shellcheck disable=SC2154
  iptables -I INPUT -p tcp --dport${port}-s${drop_ip}-j DROP
  echo">>>>> $(date'+%Y-%m-%d %H%M%S') - 发现攻击源地址 ->  ${drop_ip} ">>/tmp/nginx_deny.log #记录logdone

4. 编写封禁ip定时任务

# 每十分钟执行一次封禁ip脚本 
*/10 * * * * cd /www/Home/ && ./blackip.sh

封禁效果

好了,妈妈再也不用担心我被莫名其妙的攻击了。

思考

如果自己人的ip不小心被封了怎么办呢?

别担心,可以用下面的命令:

#清空屏蔽IP
iptables -t filter -D INPUT -s 1.2.3.4 -j DROP

#一键清空所有规则
iptables -F

附上大佬给的iptablse常用命令,先收藏,慢慢学。

iptablse常用命令

1.清除iptables(常用)

iptables -F

2. 备份iptables(常用)

iptables-save > iptables.txt

3. 导入iptables(常用)

iptables-restore < iptables.txt

4. 机器重启自动生效(常用)

service iptables save

5. 清空某条规则:

iptables -t filter -D INPUT -s 1.2.3.4 -j DROP

6. 禁止某个ip(下面用$ip表示)访问本机:

iptables -I INPUT -s $ip -j DROP

7. 禁止某个ip段(下面用

    i
   
   
    p
   
   
    /
   
  
  
   ip/
  
 
ip/mask表示,其中$mask是掩码)访问本机:
iptables -I INPUT -s $ip/$mask -j DROP

8. 禁止本机访问某个ip(下面用$ip表示):

iptables -A OUTPUT -d $ip -j DROP

9. 禁止某个ip(下面用$ip表示)访问本机的80端口的tcp服务:

iptables -I INPUT -p tcp –dport 80 -s $ip -j DROP

10. 禁止所有ip访问本机的80端口的tcp服务:

iptables -A INPUT -p tcp --dport 80 -j DROP

11. 禁止所有ip访问本机的所有端口:

iptables -A INPUT -j DROP

12. 禁止除了某个ip(下面用$ip表示)之外其他ip都无法访问本机的3306端口(常用):

(1)首先 禁止所有

iptables -I INPUT -p tcp --dport 3306 -j DROP

(2)然后 开放个别

iptables -I INPUT -s $ip -p tcp --dport 3306 -j ACCEPT

总结

我之前的思路是配置nginx的黑名单,每次填加新的黑名单之后,还要重启Nginx。

大佬告诉我,不用这么麻烦:直接用Linux的iptables防火墙,既高效又简单。连403都不要那些坏人看到!

如果你也碰到类似的问题,欢迎复刻我的经验。

如果你有更好的方案,欢迎赐教我这个“被攻击的萌新”。

一起学习

感谢我群大佬,真是卧虎藏龙。

我们搞了一个有门槛的学编程专属群,大家一起学习打卡,互相督促,欢迎加入我们:

点这里—>加入高质量学编程专属群👏👏👏

标签: 运维 tcp/ip web安全

本文转载自: https://blog.csdn.net/w425772719/article/details/128116045
版权归原作者 王中阳Go 所有, 如有侵权,请联系我们删除。

“我的网站被攻击了,运维大佬给了我自动封禁ip的脚本。”的评论:

还没有评论