iptables防简单攻击脚本

这里自动分析黑名单及白名单的iptables 脚本（此脚本直接从服务器上下载）即/root/deny_100.sh,很有关效，脚本内容如下:white.txt为企业外部合法IP

[root@mail ~]# cat /root/deny_100.sh

#/bin/bash

netstat -an| grep :25 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1}' | uniq -c | awk '$1 >100' > /root/black.txt

for i in `awk '{print $2}' /root/black.txt`

do

        COUNT=`grep $i /root/black.txt | awk '{print \$1}'`

        DEFINE="100"

        ZERO="0"

        if [ $COUNT -gt $DEFINE ];

        then

                grep $i /root/white.txt > /dev/null

                if [ $? -gt $ZERO ];

                then

                echo "$COUNT $i"

                iptables -I INPUT -p tcp -s $i -j DROP

                fi

        fi

done

2009年3月30日下午14:25分，用下列命令监控时:

netstat -an| grep :25 | grep -v 127.0.0.1 |awk '{ print $5 }' | sort|awk -F: '{print $1}' | uniq -c | awk '$1 >100'

1122 219.136.163.207

17 61.144.157.236

用http://www.ip138.com一查，发现

ip138.com IP查询(搜索IP地址的地理位置)
 
您查询的IP:219.136.163.207
 
本站主数据：广东省广州市 电信(荔湾区)
参考数据一：广东省广州市 电信(荔湾区)
参考数据二：广东省广州市荔湾区 电信ADSL
 

调用deny_100.sh后将此IP Drop掉，再运行./root/count.sh后无显示，显示成功，可用iptables –nL验证，所以将此安全脚本写进crontab里

*/1 * * * * root /bin/sh /root/deny_100.sh