2. 程式人生 > 實用技巧 >centos7環境下shell指令碼對nginx日誌過濾實現惡意ip的封堵

centos7環境下shell指令碼對nginx日誌過濾實現惡意ip的封堵

阿新 發佈:2020-07-18

centos7環境下shell指令碼對nginx日誌過濾實現惡意ip的封堵

1.編寫監控nginx日誌指令碼

[root@web:/usr/local/worksh/monitor_ip]# cat monitor_ip.sh
#!/bin/bash
#
# 日誌日期格式:[17/Jul/2020:06:10:

# 存放過去5分鐘臨時日誌
filter_log="/data/www/logs/last_filve_min_access.log"
current_log="/data/www/logs/nginx_log/access/my.chinasoft.com_access.log"

# 每次都需要清理一次,否則越累積越多
echo
 
 ''> ${filter_log}


# 這是剛開始的寫法,這樣會有一個問題,當到小時、天、月、年的分界點時會漏掉其中的5分鐘日誌
function filter_last_five_min_log
{
    # 將過去5分鐘的日誌單獨寫入一個檔案中
    # # Fri Jul 17 06:17:35 PDT 2020
    day=`date +%d`
    month=`env LANG=en_US.UTF-8 date|awk '{print $2}'`
    year=`env LANG=en_US.UTF-8 date|awk '{print $6}'`
    current_hour
 
=`date +%H`

    # 當前開始,5分鐘內的時間
    current_min=`date +%M`
    last_one_min=`date -d "1 minute ago" +"%M"`
    last_two_min=`date -d "2 minute ago" +"%M"`
    last_three_min=`date -d "3 minute ago" +"%M"`
    last_four_min=`date -d "4 minute ago" +"%M"`
    last_five_min=`date -d "5 minute ago" +"%M
 
"`
    for min_num in $current_min $last_one_min $last_two_min $last_three_min $last_four_min $last_five_min;do
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
    done
}


function current_minute_log
{
    local day=`date +%d`
    local month=`date +%b`
    local year=`date +%Y`
    local current_hour=`date +%H`
    local min_num=`date +%M`
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
}

function one_minute_log
{
    local day=`date -d "1 minute ago" +"%d"`
    local month=`date -d "1 minute ago" +"%b"`
    local year=`date -d "1 minute ago" +"%Y"`
    local current_hour=`date -d "1 minute ago" +"%H"`
    local min_num=`date -d "1 minute ago" +"%M"`
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
}

function two_minute_log
{
    local day=`date -d "2 minute ago" +"%d"`
    local month=`date -d "2 minute ago" +"%b"`
    local year=`date -d "2 minute ago" +"%Y"`
    local current_hour=`date -d "2 minute ago" +"%H"`
    local min_num=`date -d "2 minute ago" +"%M"`
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
}

function three_minute_log
{
    local day=`date -d "3 minute ago" +"%d"`
    local month=`date -d "3 minute ago" +"%b"`
    local year=`date -d "3 minute ago" +"%Y"`
    local current_hour=`date -d "3 minute ago" +"%H"`
    local min_num=`date -d "3 minute ago" +"%M"`
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
}

function four_minute_log
{
    local day=`date -d "4 minute ago" +"%d"`
    local month=`date -d "4 minute ago" +"%b"`
    local year=`date -d "4 minute ago" +"%Y"`
    local current_hour=`date -d "4 minute ago" +"%H"`
    local min_num=`date -d "4 minute ago" +"%M"`
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
}

function five_minute_log
{
    local day=`date -d "5 minute ago" +"%d"`
    local month=`date -d "5 minute ago" +"%b"`
    local year=`date -d "5 minute ago" +"%Y"`
    local current_hour=`date -d "5 minute ago" +"%H"`
    local min_num=`date -d "5 minute ago" +"%M"`
    /bin/cat ${current_log} |grep "/chinasoft/login?ramdom="| grep "\[${day}/${month}/${year}:${current_hour}:${min_num}" >> ${filter_log}
}

function count_last_logs
{
    # 將過去5分鐘撞庫的日誌ip記錄下來,並統計次數
    malice_access_ips="/data/www/logs/malice_access_ips.log"
    /bin/cat ${filter_log} |grep "/chinasoft/login?ramdom="|awk '{print $1}'|sort -r|uniq -c|sort -r -n|head -300 > ${malice_access_ips}
}


function count_filter_ip
{
    # 讀取統計的ip次數,如果一個ip撞庫次數超過100次,則防火牆拉黑
    while read line
    do
    access_num=`echo $line|awk '{print $1}'`
    access_ip=`echo $line|awk '{print $2}'`
    # 
    if [[ $access_num -gt 100 ]];
    then
        drop_ip=`iptables -nvL |grep ${access_ip}|awk '{print $8}'`
        if [[ ${access_ip} = ${drop_ip} ]];then
            # 如果已經被拉黑則跳過這個ip
            continue
        fi
        
        company_ip=`grep ${access_ip} /usr/local/worksh/monitor_ip/company_ips.txt`
        if [[ ${access_ip} = ${company_ip} ]];then
            # 如果是公司IP跳過
            continue
        fi

        iptables -I INPUT -s ${access_ip} -j DROP
        echo "access_nu="${access_num} "access_ip="${access_ip}
    fi
    done < ${malice_access_ips}
}


function main
{

    # 篩選過去5分鐘的日誌
    current_minute_log
    one_minute_log
    two_minute_log
    three_minute_log
    four_minute_log
    five_minute_log

    # 統計ip的次數
    count_last_logs
    # 過濾符合要求的ip
    count_filter_ip
}

main

2.計劃任務
# 每5分鐘統計一次訪問日誌,如果5分鐘內同一個ip撞庫超過100次就拉黑這個ip地址
*/5 * * * * /bin/bash /usr/local/worksh/monitor_ip/monitor_ip.sh >/dev/null 2>&1

# 防火牆的示例
[root@web:/usr/local/worksh/monitor_ip]# iptables -nvL
Chain INPUT (policy DROP 1786 packets, 81061 bytes)
pkts bytes target prot opt in out source destination
20 1124 DROP all -- * * 1.1.1.1 0.0.0.0/0

# 公司IP地址
[root@web:/usr/local/worksh/monitor_ip]# cat company_ips.txt
1.1.1.1
1.1.1.2
1.1.1.3

日誌示例
[root@web:/usr/local/worksh/monitor_ip]# tail -n 5 /data/www/logs/nginx_log/access/my.chinasoft.com_access.log
103.147.118.3 - - [17/Jul/2020:07:10:00 -0700] - - "POST /chinasoft/login?ramdom= HTTP/1.1" 200 65 "http://my.chinasoft.com/user/login" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" 0.223
36.71.239.228 - - [17/Jul/2020:07:10:00 -0700] - - "GET /static/jslibs/jquery.uid.js HTTP/1.1" 200 497 "https://pdf.chinasoft.com/how-to/convert-pdf-to-word.html?gclid=CjwKCAjwmMX4BRAAEiwA-zM4JmOMdq6wDpFgAOMdKNbJv1tHWCiJmDEHlKbVmUtobEFuHZQF7FP6rBoC360QAvD_BwE" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36" 0.000
91.74.26.54 - - [17/Jul/2020:07:10:00 -0700] - - "GET /static/jslibs/jquery.uid.js HTTP/1.1" 200 497 "https://web.chinasoft.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36 Edg/83.0.478.64" 0.000
46.8.247.3 - - [17/Jul/2020:07:10:00 -0700] - - "POST /chinasoft/login?ramdom= HTTP/1.1" 200 65 "http://my.chinasoft.com/user/login" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" 0.320
14.116.204.164 - - [17/Jul/2020:07:10:00 -0700] - - "POST /chinasoft/login?ramdom= HTTP/1.1" 200 65 "http://my.chinasoft.com/user/login" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" 1.609

相關推薦

centos7環境shell指令碼nginx日誌過濾實現惡意ip封堵

centos7環境shell指令碼nginx日誌過濾實現惡意ip封堵1.編寫監控nginx日誌指令碼

第三節 Linux系統環境Shell指令碼開發

第三節 Linux系統環境Shell指令碼開發 1、Shell程式設計概述 Shell是一個命令列直譯器,它接收應用程式或使用者的命令,然後呼叫作業系統核心。

cat 常用的日誌分析架構方案_在Linux環境nginx日誌進行統計分析的幾個常用業務場景和常用命令...

技術標籤:cat 常用的日誌分析架構方案 日誌大體長的樣子 以下幾種業務場景,不是絕對,但是經常使用

centos7環境使用python指令碼監控mongodb叢集複製狀態

centos7環境使用python指令碼監控mongodb叢集複製狀態centos環境搭建了 MongoDB 副本集,需要叢集的複製狀態進行監控獲取叢集的狀態資訊,叢集是3個節點,沒有設定仲裁者

CentOS7環境原始碼安裝MySQL5.7的方法

本文例項講述了CentOS7環境原始碼安裝MySQL5.7的方法。分享給大家供大家參考,具體如下:

centos7環境原始碼安裝mysql5.7.16的方法詳解

本文例項講述了centos7環境原始碼安裝mysql5.7.16的方法。分享給大家供大家參考,具體如下:

centos7環境二進位制安裝包安裝 mysql5.6的方法詳解

本文例項講述了centos7環境二進位制安裝包安裝 mysql5.6的方法。分享給大家供大家參考,具體如下:

centos7環境建立mysql5.6多例項的方法詳解

本文例項講述了centos7環境建立mysql5.6多例項的方法。分享給大家供大家參考,具體如下:

centos7環境swoole1.9的安裝與HttpServer的使用方法分析

本文例項講述了centos7環境swoole1.9的安裝與HttpServer的使用方法。分享給大家供大家參考,具體如下:

詳解Ubuntu環境部署Django+uwsgi+nginx總結

前言 這是我在搭建Django專案時候的過程,拿來總結記錄,以備不時之需。 專案採用nginx+uwsgi的搭配方式。

centos7環境編譯安裝redis5.0.9

centos7環境編譯安裝redis5.0.9 1.編譯安裝redis-5.0.9# 安裝redis6.0.8 出錯,看提示是要升級gcc,於是作罷yum install tcl -y# 下載編譯安裝redis5.0.9cd /usr/localwget http://download.redis.io/releases/re

centos7環境配置kafka_2.12-2.6.0+zookeeper-3.4.14環境

centos7環境下配置kafka_2.12-2.6.0+zookeeper-3.4.14環境因為kafka比較穩定,考慮到伺服器資源不足,單機版kafka即可滿足業務需求kafka依賴zookeeper,需要先部署zookeeper準備工作:新增啟動kafka和zookeeper的使用

python指令碼分析nginx日誌1000條IP超過100次自動封 IP

最近有一些人或者網站總是喜歡爬取別人家網站內容,於是就想到利用python 指令碼分析nginx日誌1000條,

Linux環境使用Shell指令碼安裝Mysql5.6

1. 前言 之前在Linux上安裝Mysql總是花費很多時間,一行一行執行命令,很是繁瑣,所以決定寫個指令碼提升效率,這個指令碼是基於Mysql5.6版本寫的,後續版本不適用,但是如果自己能看懂指令碼的可以稍加修改,如果

centos7環境安裝php7.2.24的imagick擴充套件

centos7環境安裝php7.2.24的imagick擴充套件1.安裝依賴ImageMagick下載地址:http://www.imagemagick.org/download/releases/cd /usr/local/srcwget http://www.imagemagick.org/download/releases/ImageMagick-6.

Centos7環境安裝redis及常見的問題

1;安裝gcc 2;安裝tcl; 3;下載redis原始檔包:官網獲取最新 wget https://download.redis.io/releases/redis-6.0.9.tar.gz

Centos7環境進行搭建postgresql-xl叢集環境

技術標籤:資料庫linuxjava大資料hadoop 本次使用環境centos7, 共3臺伺服器,基礎配置採用4核4G記憶體200G機械硬碟

VMware虛擬機器Centos7環境docker安裝

1.docker簡介 官網https://docs.docker.com/engine/install/ 1.1 映象(image) docker映象就好比是一個目標,可以通過這個目標來建立容器服務,通過映象可以建立多個容器

centos7環境安裝mongodb3.4.24主從複製叢集並設定密碼

centos7環境安裝mongodb3.4.24主從複製叢集並設定密碼1.安裝mongodb新增執行mongodb的使用者mongo,避免直接使用root帶來安全隱患groupadd -g 1608 mongouseradd -u 1608 -g mongo mongo#下載原始碼包wget http:/

Centos7環境Django環境初始化

Centos7Django環境安裝 yum install python36 python3 -m pip install --upgrade pip==21.3.1 pip3 install django==3.2.6