如何禁掉扫描机器的 IP（通过 ssh 认证记录分析）

#! /bin/bash

# 获取前 1 分钟内的 secure 记录，统计 ssh 认证失败的 IP 和其 失败次数

SCANNER=`grep "\`date \"+ %e %H:%M\" -d \"-1min\"\`" /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $1"="$2;}'`

for i in $SCANNER

do

      # 取认证失败次数

      NUM=`echo $i|awk -F= '{print $1}'`

      # 取其 IP 地址

      IP=`echo $i|awk -F= '{print $2}'`

      # 若其在失败次数超过 5 次且之前没有被阻断过，那么添加一条策略将其阻断，并记录日志

      if [ $NUM -gt 5 ] && [ -z "`iptables -vnL INPUT|grep $IP`" ]

      then

              iptables -I INPUT -s $IP -j DROP

              echo "`date` $IP($NUM)" >;>; /var/log/scanner.log

      fi

done

[root@platinum root]# iptables -vnL INPUT

Chain INPUT (policy DROP 548 packets, 67283 bytes)

pkts bytes target     prot opt in     out     source               destination

101 10240 DROP       all  --  *      *       211.248.100.100          0.0.0.0/0

      state NEW,RELATED,ESTABLISHED

[root@platinum root]#

[root@platinum root]# cat /var/log/scanner.log

Sat Jul 16 10:27:22 CST 2005 211.248.100.100(15)

[root@platinum root]#