SSH ochrana před roboty

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání

Aby se v soubory dalo dobře číst, tak jsem jej ještě trošku upravil. Stačí, když všechny bloky vložíte do jednoho skriptu a necháte jej provádět pomocí cronu třeba každých 15 minut. Taky jsem právě upravil takovou malou drobnost, aby script poslal e-mail, jen když blokuje nějakou IP adresu.

Ještě pro ty stroje, které používají Shorewall a nebo při každém restartu serveru načíst blokované IP ze souboru block_ip.

#!/bin/bash
DIR="var/log"
DAY=`date |awk '{print $1}'`
FILE="auth_$DAY.log"
EMAIL="muj@mail.cz"
POKUS=10
# uklid na zacatek
rm -f /$DIR/auth/$FILE
touch /$DIR/auth/tmp
# zaloha auth.log
cat /$DIR/auth.log >> /$DIR/auth/$FILE
rm -f /$DIR/auth.log
touch /$DIR/auth.log
# unikatni IP ze souboru + pridani do block_ip
grep "Invalid user" /$DIR/auth/$FILE |awk '{print $10}' |uniq > /$DIR/auth/tmp;
cat /$DIR/auth/tmp >> /$DIR/auth/block_ip
# blokovani nalezenych IP
SIZE=`wc -l /$DIR/auth/tmp |awk '{print $1}'`;
SIZE=`expr $SIZE + 1`;
I=1
while test $I -lt $SIZE
do
	IP=`sed -n "$I"p /$DIR/auth/tmp`;
	I=`expr $I + 1`;
	POCET=`cat /$DIR/auth/$FILE |grep $IP |wc -l |awk '{print $1}'`;
	if [ $POCET -gt $POKUS ] ; then
                iptables -A INPUT -s $IP -j DROP
                ATTACK=1
       fi
done
#mail
if [ $ATTACK -eq 1 ] ; then
        cat /$DIR/auth/tmp |mail -s "Blokovane IP" $EMAIL 
fi