标签归档：安全

#!/usr/bin/env perl
my $LIMIT=30;
my $log="/var/log/secure";
my $LOGFILE="/data/block_ip.log";
my $TIME=`date '+%b %e %H'`;
chomp $TIME;
my $BLOCK_IP;
my %hash;
open(FD,$log)||die("Can not open the file!$!n");

while(<FD>){
chomp;
if ( /$TIME/ and /Failed password/ )
{
my @line=split;
my $ip=$line[-4];
$hash{$ip}++;
}
}
close(FD);

for(%hash)
{

if ($hash{$_} > $LIMIT)
{
my $IP=$_;
$ips= `iptables-save`;
$mo= qr(/INPUT/ and /DROP/ and /$IP/);
unless ($ips=~$mo)
{
`iptables -I INPUT -s $IP -j DROP`;
my $NOW=`date '+%Y-%m-%d %H:%M'`;
chomp $NOW;
`echo -e "$NOW : $IP" >>$LOGFILE`;
}
}
}

#!/usr/bin/env perl

my $LIMIT=30;

my $log="/var/log/secure";

my $LOGFILE="/data/block_ip.log";

my $TIME=`date '+%b %e %H'`;

chomp $TIME;

my $BLOCK_IP;

my %hash;

open(FD,$log)||die("Can not open the file!$!n");

while(<FD>){

chomp;

if ( /$TIME/ and /Failed password/ )

{

my @line=split;

my $ip=$line[-4];

$hash{$ip}++;

}

close(FD);

for(%hash)

{

if ($hash{$_} > $LIMIT)

{

my $IP=$_;

$ips= `iptables-save`;

$mo= qr(/INPUT/ and /DROP/ and /$IP/);

unless ($ips=~$mo)

{

`iptables -I INPUT -s $IP -j DROP`;

my $NOW=`date '+%Y-%m-%d %H:%M'`;

chomp $NOW;

`echo -e "$NOW : $IP" >>$LOGFILE`;

}

2、将该脚本保存为block_ssh.sh
3、创建一个上传任务，把该文件上传到远程服务器，给予执行权限。加入crontab 每5分钟执行一次。

 task "upload",  group =>"all", sub {
 say connection->server.":begin upload files!";
   upload "block_ssh.sh", "/root/block_ssh.sh";
    run "chmod 755 /root/block_ssh.sh";
    run 'echo "*/5 * * * * root /root/block_ssh.sh" >>/etc/crontab';
say connection->server.":upload success!";
 };

task "upload", group =>"all", sub {

say connection->server.":begin upload files!";

upload "block_ssh.sh", "/root/block_ssh.sh";

run "chmod 755 /root/block_ssh.sh";

run 'echo "*/5 * * * * root /root/block_ssh.sh" >>/etc/crontab';

say connection->server.":upload success!";

};

rex advent ——rex 做远程主机登录账号审计

发表评论

1、账号，最经登录时间和ip

task "lastlog", group => "all", sub {
my $lastlog= run "lastlog|grep -v 'Never logged in'";
say connection->server.": $lastlog";
};

task "lastlog", group => "all", sub {

my $lastlog= run "lastlog|grep -v 'Never logged in'";

say connection->server.": $lastlog";

};

继续阅读 →

tomcat 只监听一个端口

发表评论

tomcat默认会监听3个端口：

一个主端口，默认为8080
一个shutdown端口，默认8005
还有一个AJP1.3端口，默认8003

实际上后两个端口是非必须，尤其shutdown虽然默认是监听在127.0.0.1但是连接到这个端口，发送SHUTDOWN就可以无任何验证把tomcat关闭掉，有安全隐患的。
AJP端口用来在应用服务器交互时候用，比如apache链接tomcat等，一般也用不着，可以禁止掉。
继续阅读 →

perl版本屏蔽ssh恶意扫描ip的脚本

发表评论

上一篇文章讲了屏蔽ssh恶意扫描ip的脚本，主要里利用shell和perl-oneline代码，后来又写了一个纯perl版本的，一并发上了。继续阅读 →

屏蔽ssh恶意扫描ip的脚本

发表评论

近来发现有ip恶意扫描服务器，写个脚本自动对恶意攻击的ip进行封禁。主要原理是定期crontab任务分析secure日志（扫描尝试登陆的会有错误日志），超过错误次数就将其加入iptables DROP 链接。可以在一定程度上访问恶意攻击提供，安全性。附上脚本（代码另存为/root/block_ssh.sh。执行echo "*/5 * * * * root /root/block_ssh.sh" >>/etc/crontab 每5分钟检查一次文件。）继续阅读 →