短信发送接口被恶意访问的网络攻击事件(三)定位恶意IP的日志分析脚本
做者:13
GitHub:https://github.com/ZHENFENG13
版权声明:本文为原创文章,未经容许不得转载。html
前言
承接前文《短信发送接口被恶意访问的网络攻击事件(二)肉搏战-阻止恶意请求》,文中有讲到一个定位非法IP的shell脚本,如今就来公布一下吧,并无什么技术难度,只是当时花了些时间去写这个东西,相似于紧急修复线上bug同样的赶这个小脚本,虽然如今看来挺简单的,可是在当时紧张的情景中,赶这个小脚本儿的过程确实是颇有趣的。git
前一篇文章发布后,有朋友留言问了一下脚本的事,因而整理了一下。github
需求分析
目标:shell
经过日志定位并记录攻击者的IP,而后封掉此IP的全部请求api
借助工具:bash
- shell脚本
- 日志文件
- iptables防火墙
具体步骤:网络
第一步,首先是获取请求了被攻击URL的全部请求中的IP,由于被攻击的URL只有一个,这里的作法是经过grep命令查找请求了此URL的日志行,查找的值为api地址的名称字段,好比此URL的地址为'/message/send/',而send字段只存在于此URL中,所以在日志文件中查找包含'send'字段的行便可。工具
第二步是从全部的行中提取出IP列,统计出全部出现的IP和此IP请求接口URL的次数,存入ip.txt文件。日志
接着第三步是经过对ip.txt文件的分析,定位出全部的不正常的IP,分析的比较简陋,作法是请求超过5次的都视为非法IP,其实5次已经算多的了,应该再小一点,可是其实在分析文件ip.txt文件过程当中,发现正常的IP访问次数基本为一次、两次,而非法IP则为百次或千次,所以阈值设置为5或者3并无大的影响,重点是找出访问量较大的一些IP。code
最后一步,获得这些IP值以后,将其加入到iptables的过滤策略中并重启iptables便可。
脚本代码
一开始的脚本,可以根据需求统计和记录出访问过多的IP地址了:
#! /bin/bash
#author:13
#date:2017-06
#desc:找出攻击者IP
cat /opt/sms-service/logs/access_log.log | awk '{print $1}'|sort|uniq -c|awk '{print $2"="$1;}' > /opt/sms-service/logs/ip.txt
DEFINE="5"
for i in `cat /opt/sms-service/logs/ip.txt`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ];then
grep $IP /opt/sms-service/logs/black.txt > /dev/null
if [ $? -gt 0 ];then
echo "iptables -I INPUT -s $IP -j DROP" >> /opt/sms-service/logs/black.txt
fi
fi
done
后面又对脚本作了一些小改动,改进点有:
- 对文件路径进行参数命名,使得代码不是特别臃肿;
- 增长一条判断条件,判断IP是否已经存在于iptables配置文件中,剔除已经统计和记录过的IP。
#! /bin/bash
#author:13
#date:2017-06
#desc:找出攻击者IP
LOGFILE="/opt/sms-service/logs/access_log.log"
IPTXT="/opt/sms-service/logs/ip.txt"
BLACKTXT="/opt/sms-service/logs/black.txt"
IPTABLES="/opt/iptables/run.sh"
DEFINE="5"
cat $LOGFILE|awk '{print $1}'|sort|uniq -c|awk '{print $2"="$1;}' > $IPTXT
for i in `cat $IPTXT`
do
IP=`echo $i |awk -F= '{print $1}'`
NUM=`echo $i|awk -F= '{print $2}'`
if [ $NUM -gt $DEFINE ];then
grep $IP $BLACKTXT > /dev/null
if [ $? -gt 0 ];then
grep $IP $IPTABLES > /dev/null
if [ $? -gt 0 ];then
echo "iptables -I INPUT -s $IP -j DROP" >> $BLACKTXT
fi
fi
fi
done
总结
首发于个人我的博客,地址在这里
最近工做也比较忙,原本不打算写这篇文章的,前一篇文章发布后看到有朋友留言了,所以在下班后抽出一段时间完成了这篇文章,文中并无特别难的知识点,但愿有所收获。
- 1. 短信发送接口被恶意访问的网络攻击事件(二)肉搏战-阻止恶意请求
- 2. 短信发送接口被恶意访问的网络攻击事件(一)紧张的遭遇战险胜
- 3. 短信验证码接口被恶意攻击怎么办?
- 4. 防止恶意攻击短信验证码接口方法
- 5. 如何防止短信接口验证码被恶意点击?
- 6. 短信发送接口被恶意访问的网络攻击事件(四)完结篇--搭建WAF清理战场
- 7. 如何防范短信接口被恶意调用(被刷)
- 8. 防止独立IP被其它恶意域名恶意解析
- 9. 如何防止验证码接口被恶意攻击
- 10. 孟加拉央行SWIFT攻击事件恶意木马分析
- 更多相关文章...
- • TCP/IP网络访问层的构成 - TCP/IP教程
- • XML 注意事项 - XML 教程
- • 互联网组织的未来:剖析GitHub员工的任性之源
- • 常用的分布式事务解决方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。