Linux-----Ubuntu通过shell脚本将SSH多次登录失败的IP自动加入黑名单

最新推荐文章于 2024-02-24 10:00:00 发布
最新推荐文章于 2024-02-24 10:00:00 发布
阅读量5.3k 收藏 23
点赞数 10
分类专栏: 奇技淫巧 文章标签: linux ubuntu shell 运维 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52270081/article/details/121496140
版权

一:与登录相关文件介绍

ubuntu三个文件日志介绍:
1:/var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间;

2:/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看;

3:/var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。

ubuntu查看失败登录记录,只需要

sudo lastb
#或者
sudo lastb -n 30 #查看最新前30条

二:查看失败登录记录

本人买来的服务器,一直没有用,闲置状态,没有管。虽然改了端口,禁止了root的ssh登录权限。但是只要别人不懒的话,随便用工具扫描端口还是很容易扫描出来的,这不,有人扫描出来啦,还正在用跑字典的形式试图暴力破解登录(好家伙,都已经从a都跑到m了)。

ubuntu@VM-20-6-ubuntu:~$ sudo lastb -n 20
maven    ssh:notty    138.68.86.65     Tue Nov 23 12:58 - 12:58  (00:00)
maven    ssh:notty    138.68.86.65     Tue Nov 23 12:58 - 12:58  (00:00)
maxiao   ssh:notty    138.68.86.65     Tue Nov 23 12:58 - 12:58  (00:00)
maxiao   ssh:notty    138.68.86.65     Tue Nov 23 12:58 - 12:58  (00:00)
maundy   ssh:notty    138.68.86.65     Tue Nov 23 12:58 - 12:58  (00:00)
max      ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
mawenche ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
maundy   ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
max      ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
max      ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
mawenche ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
maverick ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
mawenche ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
max      ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
maverick ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
mawenche ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
maverick ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
maven    ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
maverick ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)
mauricio ssh:notty    138.68.86.65     Tue Nov 23 12:57 - 12:57  (00:00)

查看失败记录并统计次数,发现最多的已经暴力破解跑了3万多条登录记录,虽然没有成功,但是确实像苍蝇般烦人。所以需要写个脚本将多次尝试登录,并失败的IP加入黑名单。

ubuntu@VM-20-6-ubuntu:~$ sudo lastb |awk '{print $3}'|sort |uniq -c
      1 
      4 119.165.181.251
      4 121.129.214.70
  30573 138.68.86.65
      4 151.50.58.55
      1 151.84.178.182
  30702 159.65.220.140
     54 177.249.47.101
      7 185.245.41.97
  15331 211.246.175.6
      4 24.218.231.49
      4 24.224.178.87
     59 47.102.111.161
      4 82.66.84.2
      4 83.195.190.187
      4 83.228.156.118
    103 83.250.30.182
      4 88.157.49.186
      8 98.40.14.28
      1 Sat
      1 Sun
      1 Wed

三:编写ssh失败登录限制IP脚本

这条命令,可以得到登录失败大于4次的IP,及需要加入黑名单的IP名单。

sudo lastb |awk '{print $3}'|sort |uniq -c|awk '{if ($1 > 4) print $2}'

显示如下:

ubuntu@VM-20-6-ubuntu:~$ sudo lastb |awk '{print $3}'|sort |uniq -c|awk '{if ($1 > 4) print $2}'
138.68.86.65
159.65.220.140
177.249.47.101
185.245.41.97
211.246.175.6
47.102.111.161
83.250.30.182
98.40.14.28

开始写脚本,黑名单文件位置为/etc/hosts.deny,Ubuntu格式为ALL: IP 的方式添加才有效

#!/bin/bash
#set -x
list=$(sudo lastb |awk '{print $3}'|sort |uniq -c|awk '{if ($1 > 4) print $2}')
for ip in ${list}
do
	echo ALL: ${ip} >> /etc/hosts.deny #加入黑名单
	echo > /var/log/btmp	#清空失败记录,防止脚本下次执行重复统计IP
done

四:脚本定时任务

crontab -e
#内容为每1小时执行一次脚本
* */1 * * * sudo bash /home/ubuntu/ssh_deny.sh

完成,服务器也每啥东西,为了测试,我将ssh端口改回默认的22端口,开始钓鱼,等过几个小时,看看/etc/hosts.deny黑名单有没有增加IP。

第二天更新效果:
钓了一晚上的鱼,效果不错

ubuntu@VM-20-6-ubuntu:~$ cat /etc/hosts.deny 
# /etc/hosts.deny: list of hosts that are _not_ allowed to access the system.
#                  See the manual pages hosts_access(5) and hosts_options(5).
#
# Example:    ALL: some.host.name, .some.domain
#             ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# If you're going to protect the portmapper use the name "rpcbind" for the
# daemon name. See rpcbind(8) and rpc.mountd(8) for further information.
#
# The PARANOID wildcard matches any host whose name does not match its
# address.
#
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID

ALL: 138.68.86.65
ALL: 159.65.220.140
ALL: 177.249.47.101
ALL: 185.245.41.97
ALL: 211.246.175.6
ALL: 47.102.111.161
ALL: 83.250.30.182
ALL: 98.40.14.28
ALL: 220.129.62.150
ALL: 24.245.227.211
ubuntu@VM-20-6-ubuntu:~$

失败登录记录也只有几条而已了

ubuntu@VM-20-6-ubuntu:~$ sudo lastb 
pi       ssh:notty    122.199.7.19     Wed Nov 24 05:39 - 05:39  (00:00)
pi       ssh:notty    122.199.7.19     Wed Nov 24 05:39 - 05:39  (00:00)
pi       ssh:notty    122.199.7.19     Wed Nov 24 05:39 - 05:39  (00:00)
pi       ssh:notty    122.199.7.19     Wed Nov 24 05:39 - 05:39  (00:00)

btmp begins Thu Jul 26 22:17:36 1917
ubuntu@VM-20-6-ubuntu:~$
the丶only
关注
  • 10
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Xubuntu-minimum-shell-config:Linux Shell脚本来配置新安装的Xubuntu Linux(https
03-07
Xubuntu-minimum-shell-config Linux Shell脚本可配置新安装的系统,并安装所需的最低限度的程序,以获得具有必需软件包的可行OS。 命令: sh my-xubuntu-config-on-github.sh 文件: my-xubuntu-config-on-github.sh #!/bin/bash cd ~/ && \ git clone https://github.com/Pinaki82/Xubuntu-minimum-shell-config/tree/main/shell \ 右键单击下面的图像,然后在新选项卡中打开链接。 Xubuntu Focal Fossa 20.04.2 LTS,[Linux版本5.4.0-66-通用(buildd @ lgw01-amd64-039)(gcc版本9.3.0(Ubuntu 9.3.0-17u
ubuntu离线安装包ssh-server.zip
12-06
Ubuntu20.04离线安装openssh-server 安装步骤: sudo dpkg -i libssl1.0.0_1.0.2n-1ubuntu5.7_amd64.deb sudo dpkg -i openssh-client_8.4p1-6ubuntu1_amd64.deb sudo dpkg -i openssh-sftp-server_8.4p1-6ubuntu1_amd64.deb sudo dpkg -i openssh-server_8.4p1-6ubuntu1_amd64.deb sudo dpkg -i ssh_8.4p1-6ubuntu1_all.deb 安装后执行: sudo service ssh restart
UbuntuSSH安全配置,查看SSH登录日志文件,修改默认端口,禁止root登录,禁用密码登陆,使用RSA私钥登录,以及使用使用 Fail2ban
最新发布
wangluoanquan111的博客
02-24 1893
UbuntuSSH安全配置,查看SSH登录日志文件,修改默认端口,禁止root登录,禁用密码登陆,使用RSA私钥登录,以及使用使用 Fail2ban。环境是Ubuntu 22.04 LTS。
ubuntu-overssh-reinstallation:通过grub映像启动重新安装ubuntu服务器overssh
04-30
移至GitLab Ubuntu Overssh重新安装 如果您的ISP /数据中心不为您的服务器提供标准或受信任的iso。 从安装了Ubuntu服务器的版本中获取丑陋的服务器。 我安装了相同的情况ubuntu的分区表坏了,或者安装了很多愚蠢的软件包。 数据中心网络是我最关心的问题,或者它的价格确实很便宜,但管理员不在乎。 我应该怎么办? 这就是我轻松解决此问题的方法。 要求他们安装ubuntu服务器。 通过ssh重新安装它,重新分区并获得ubuntu服务器的全新安装。 创建您自己的netiso并通过ssh重新安装。 您可以根据需要分配服务器。 并使用刚好在ssh前面的设置更多配置; 无需kvm / ipmi / vnc。 很简单,根据您的网络和预置的url文件创建修改过的iso,然后继续通过ssh进行安装。 我使用mini.iso是因为它很小,并且可以从ubuntu存储库中获取
mangi-script:设置开发环境的Ubuntu Shell脚本
02-06
mangi-script:设置开发环境的Ubuntu Shell脚本
Linux-Auto-Customizer:用于自定义Ubuntu-Linux环境并自动安装与编程相关的软件的脚本
02-26
Linux定制器 该软件是Ubuntu / Debian计算机的自动脚本。 install.sh脚本可以将某些自定义功能(取决于所接收的参数)应用于当前用户控制台和Ubuntu-Linux环境,例如本地函数,文件模板和全局变量。 同样,也可以安装第三方软件,包括其依赖项。 该uninstall.sh可用于卸载脚本功能以前安装脚本安装给它的参数了。 特征 一般特征 安装的大多数软件和命令行实用程序都打算在PATH显示为有效的二进制文件,因此您可以直接调用程序而无需二进制文件的路径。 该脚本强制~/.local/bin在您的PATH ,因此将在此处创建指向二进制文件的符号链接。 大多数软件(不带UI的软件除外)在桌面和仪表板中都有自己的启动器(用户启动器位于~/.local/share/applications )。 它还为桌面中的每个创建启动器。 读取或识别文件的软件(特别是IDE)
Linux Shell 脚本限制ssh最大用户登录
weixin_33694620的博客
07-02 2017
  我撰写本文原来的意图是想把“复制SSH渠道”和"copy SSH Session"这样的功能从远程ssh客户端中剔除掉.因此想到可以在SSH服务端设置一下,但查阅了sshd_config的man手册,发现里面的看起来限制ssh连接数量的参数(MaxSessions ,ClientAliveCountMax等)在复制SSH渠道中并不好用,即一个远程ssh客户端可以通过这种方式几乎无限制的建立ss...
Ubantu 18防止SSH暴力穷举密码多次登录失败IP
MiMangDeHaiZi_的博客
01-02 3633
Ubantu 防止SSH暴力穷举密码,多次SSH登录失败IP
利用shell防止暴力破解,封掉多次访问失败IP地址
胡子的博客
04-04 1108
思路是查找/var/log/secure中验证失败且出现的次数较多的ip,对其进行封IP处理。具体方法如下:vi /usr/local/bin/secure.sh#输入以下脚本#! /bin/bashcat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/loca...
运维安全: Linux检测登录失败记录并自动拉入黑名单脚本
坐公交也用券
02-23 362
运维安全: Linux检测登录失败记录并自动拉入黑名单脚本
UBUNTU ufw 添加和删除IP黑名单
ypp240124016的博客
01-15 2688
需要在root模式下执行命令。 1、添加黑名单指令 ufw insert 1 deny from 192.168.3.99 其中insert 1 是将规则插入第一条中,不然只是添加到末尾,而ufw是顺序匹配规则的,如果有规则匹配了就停止匹配;所以如果之前有允许了通过的规则,那么再添加拒绝的规则就会导致无效。 2、移除黑名单指令 ufw delete deny from 192.168.3.99 ...
Ubuntu20.04实现Python基于Selenium实现上海大学校园网自动登录
weixin_51706755的博客
03-29 1417
Ubuntu20.04实现Python基于Selenium实现上海大学校园网自动登录 以anaconda环境为例,创建一个Selenium的虚拟环境: 一、安装selenium 1. conda create -n selenium python==3.8 2. conda activate selenium 3. pip install selenium 二、安装第三方WebDriver驱动 我使用的是Chrome(这里就以ChromeDriver为例): 1.下载谷歌浏览器: 使用wget下载最
ubuntu桌面登陆后执行脚本(窗口全屏)
Interplayer的博客
08-26 350
用于ubuntu 桌面系统登陆自动打开一个全屏窗口。
解决ssh连接Ubuntu拒绝访问,亲试可yong
Yang_Ming_Lei的博客
02-16 1024
解决ssh连接Ubuntu拒绝访问
Ubuntu 下如何执行脚本文件
qq_27494201的博客
06-10 2767
./脚本名 例如: ./build.py
Ubuntu自动登录脚本,expect自动切换用户,xshell自动登录脚本
weixin_42408707的博客
01-03 1597
本人用xshellSSH登录云服务器,需要从用户Ubuntu切换到root,再切换到lighthouse。利用expect和spawn编辑了一个自动切换用户的脚本
设置ssh登录失败多次封禁该ip(防暴力破解)
MR.WU
11-30 2071
1.新建一个secure-ssh.sh 设置登录失败5次就永久封禁该ip #! /bin/bash cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list for i in `cat /usr/local/bin/black.list` do IP=`echo $i |awk -F= '{print $1}'` NU
Linux 磁盘管理,挂载分区管理,磁盘分区扩容缩容管理,详细教程
12-06 8157
一、Linux磁盘基本信息查看命令 df -h 查看已经在使用或挂载的磁盘信息。查看的是文件系统的大小 ubuntu@ubuntu:~$ df -h Filesystem Size Used Avail Use% Mounted on udev 1.9G 0 1.9G 0% /dev tmpfs 391M 1.5M 390M
国外浏览器无法访问apple ID页面,显示502 Bad Gateway,解决方法
10-08 7553
国外无法访问输入apple ID 的页面项,显示502 Bad Gateway。 如https://developer.apple.com/页面的Account选项。 1. Windows系统直接用自带的Microsoft Edge浏览器访问即可。 2. 其他浏览器,只需要浏览器设置添加语言en-us(英语-美国),并置顶即可。无需更改浏览器本身语言。 一:谷歌浏览器设置 “设置”>>“高级”>>“语言” “添加语言” 选择 “英语(美国)”,然后置顶即可。 添加完成并置顶后,刷
ubuntu arm-linux-gnueabihf-gdb
09-04
Ubuntu是一种基于Linux的开源操作系统,arm-linux-gnueabihf-gdb是用于ARM架构的GNU工具链中的调试工具。它可以用于调试ARM架构的应用程序和嵌入式系统。 arm-linux-gnueabihf-gdb是通过交叉编译生成的,可以在x86架构的主机上运行,并与ARM架构的目标设备进行通信。在Ubuntu上安装arm-linux-gnueabihf-gdb通常需要使用包管理器,如apt-get。 使用arm-linux-gnueabihf-gdb进行调试时,可以设置断点、单步执行代码、查看变量的值以及调用堆栈等。它还支持远程调试,可以通过网络连接到目标设备并进行调试操作。 在调试过程中,通常需要将待调试的应用程序与调试信息一起编译生成可执行文件。然后,使用arm-linux-gnueabihf-gdb加载可执行文件并启动调试会话。可以通过命令行参数或交互式命令来设置断点和执行其他调试操作。 在使用arm-linux-gnueabihf-gdb时,需要注意目标设备与调试工具链的匹配。确保使用相同的架构和操作系统版本,以避免出现兼容性问题。 总之,ubuntu arm-linux-gnueabihf-gdb是一种在Ubuntu操作系统上使用的调试工具,用于ARM架构应用程序和嵌入式系统的调试和分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值