服务器受到攻击，写了几个小脚本，大家给看看

flowingtree

UID: 27700
帖子: 2
积分: 4
在线时间: 10 分钟

1^# flowingtree 发表于 2007-12-11 17:19

服务器受到攻击，写了几个小脚本，大家给看看

[Copy to clipboard] [ - ]

CODE:

查看那些机器正常访问网站的ip
[root@www flowing]# cat r3educe_repeat.sh
echo "Num:"
read maxnum
export maxnum
netstat -an | grep 80 |grep ffff| awk '{print $5}'| awk 'BEGIN { FS=":" } { Num[$4]++ } END { for(i in Num) if(Num[i]>ENVIRON["maxnum"]) { print i } }'

输入:
0
查看

也可以
[root@www flowing]# cat reduce_repeat.sh
netstat -an | grep 80 |grep ffff| awk '{print $5}'| awk 'BEGIN { FS=":" } { Num[$4]++ } END { for(i in Num) if(Num[i]>36) { print i} }'|xargs -i[] iptables -I INPUT -s [] -j DROP

把并发量大于36的加入禁止访问列表。可以加入crontabe每分钟执行一次

[root@www flowing]# cat r2educe_repeat.sh
netstat -an | grep 80 |grep ffff| awk '{print $5}'| awk 'BEGIN { FS=":" } { Num[$4]++ } END { for(i in Num) if(Num[i]>16) { print i} }' >>repeat.txt
记录并发量比较大的ip

限制SYN_RECV过多的ip
[root@www flowing]# cat r4educe_repeat.sh
netstat -an | grep 80 |grep ffff| awk '{print $5}'| awk 'BEGIN { FS=":" } { Num[$1]++ } END { for(i in Num) if(Num[i]>36) { print i} }'|xargs -i[] iptables -I INPUT -s [] -j DROP

powerv

UID: 25357
帖子: 157
积分: 361
在线时间: 1 天 9 小时

2^# powerv 发表于 2007-12-11 22:55

支持一下。

flowingtree

UID: 27700
帖子: 2
积分: 4
在线时间: 10 分钟

3^# flowingtree 发表于 2007-12-12 08:41

昨天锁定的可疑ip为：
-A INPUT -s 116.254.150.20 -j DROP  116.254.150.20 来自：四川省
-A INPUT -s 125.91.189.162 -j DROP  125.91.189.162 来自：广东省揭阳市
-A INPUT -s 218.63.106.211 -j DROP  云南省红河州建水县北正街顺昌网吧(二楼)
-A INPUT -s 140.118.107.216 -j DROP  台湾省工技学院
-A INPUT -s 208.113.190.16 -j DROP 美国
-A INPUT -s 58.213.127.186 -j DROP 江苏省南京市电信ADSL
-A INPUT -s 218.25.102.26 -j DROP 辽宁省沈阳市网通
-A INPUT -s 122.137.30.168 -j DROP 吉林省吉林市网通

继续观察