linux 查看日志文件 封禁今日请求过多的ip

原创 已于 2023-02-23 18:10:59 修改 · 618 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络 #bash

于 2023-02-23 16:53:16 首次发布
该脚本用于检查日志文件中请求服务超过19次的IP,对比历史记录,新增的IP将被封禁并记录到相应文件中,使用iptables进行IP阻止操作。

 查今日日志文件禁ip

主要内容为:(封禁ip脚本处理 在最下方)

        1、查看今日请求服务ip次数大于19次的ip(防止误封自己)

        2、 查出的ip和厉害保存的ip对比,拿出新增加的ip

        3、对ip进行处理,执行封禁ip脚本处理

        4、写入封禁ip文件,并写入日志

#!/bin/bash

DATE=$(date +%Y/%m/%d%t%H:%M:%S)
DayTime=$(date +%Y/%m/%d)

if [ ! -f ip.log ]
then
    touch  ip.log
fi


ipStr=""
function getIpStr(){
echo $ipStr
    while read lineIp
    do
      ipStr=${ipStr}${lineIp}" "
   done <  add_ip.log
}

cat /var/log/nps.log |grep ${DayTime} |grep "port 22"| awk '{print $12}'|awk -F[:" "]+ '{print $1}'|sort | uniq -c |awk '{if ($1  > 19) {print $2} }' > tmp_ip.log &&
[ -s tmp_ip.log ] &&
echo "比对历史数据" &&
grep -v -f ip.log tmp_ip.log > add_ip.log &&
[ -s add_ip.log ] &&
echo "增加过滤ip内容" && getIpStr && sh ~/ip_deny.sh ${ipStr} &&
cat add_ip.log >> ip.log &&
echo -e "\n====>记录时间: "${DATE}"<<====" >> log_ip.log &&
cat add_ip.log >> log_ip.log &&
#rm -f  tmp_ip.log &&
echo "ip处理完成"

 ip_deny.sh  (ip封禁脚本)

#!/bin/bash

echo "-- \$* 封禁ip操作 ---"
for i in "$@"; do
    iptables -I INPUT -s $i -j DROP
    echo "封禁ip:"$i
done

Linuxipset配合iptables封禁大量IP以及ipset参数说明
清风徐来的博客
12-23 1463
Linux使用iptables封IP,是常用的应对网络攻击的方法,但要封禁成千上万个IP,如果添加成千上万条规则,对机器性能影响较大,使用ipset能解决这个问题。 iptables 包含几个表,每个表由链组成。默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是nat表,封IP就是在 filter 表的 INPUT 链添加规则。 在进行规则匹配时,是从...
我是如何通过Nginx日志实时封禁风险IP
热门推荐
草堂笺
11-17 1万+
实时采集并分析Nginx日志, 自动化封禁风险IP方案 文章地址: https://blog.piaoruiqing.com/2019/11/17/block-ip-by-analyzing-nginx-logs/ 前言 本文分享了自动化采集、分析Nginx日志并实时封禁风险IP的方案及实践. 阅读这篇文章你能收获到: 日志采集方案. 风险IP评估的简单方案. IP封禁策略及方案. 阅读本...
linux安全篇:禁止频繁访问ip访问nginx
Linuxprobe18的博客
08-22 956
导读 生产环境中经常会遇到某个ip地址频繁异常的访问nginx网站,此时我们需要通过安全措施保护我们的服务器,接下来为大家介绍几种方式。 实验环境: 版本:redhat6.5 ip:172.16.1.100,172.16.10 软件:nginx 172.16.1.10部署nginx [root@localhost tools]# ls nginx-1.11.2.tar.gz [root@localhost tools]# yum install gcc gcc-c++ make auto
linux服务器禁ip策略,Linux服务器自动封禁访问异常的IP脚本(一)
weixin_30670053的博客
04-29 803
#!/bin/sh##Author:bbzsxjj##Email:bbzsxjj@163.com##Usage:auto deny ip by iptables##Ver:1.0timenow=`date +'%H%M00'`timelast=`date +'%H%M00' -d '-5min'`lastnum=1000000 ##日志的行数,可以根据自己的业务频率选取limitnum=3000...
Linux防火墙限制访问服务器IP和端口
qq_39960204的博客
05-26 2404
【代码】Linux防火墙限制访问服务器IP和端口。
linux常见问题解决方案总结(三)Linux查看IP
qq_40959462的博客
09-08 1292
没有ifconfig命令)查看ip,但此命令会出现3个条目,centos的ip地址是第三行的inet值。输入ip查询命名 ip addr 也可以输入 ifconfig(
Linux禁止IP、解封IP的方法
satiling的专栏
07-16 3846
#屏蔽单个IP的命令是   iptables -I INPUT -s 123.45.6.7 -j DROP   #封整个段即从123.0.0.1到123.255.255.254的命令   iptables -I INPUT -s 123.0.0.0/8 -j DROP   #封IP段即从123.45.0.1到123.45.255.254的命令   iptables -I INPUT -s
Nginx IP封禁
hcc_lucky的博客
03-08 1957
1、先查找服务器所有访问者的ip: awk '{print $1}' /data/logs/nginx/tg-ga-access.log |sort |uniq -c |sort -n tg-ga-access.log 为域名的访问日志文件所在路径 会到如下结果,前面是ip访问次数,后面是ip,很明显我们需要把访问次数多的ip且异常的IP进行封禁 如下结果 (ps: 以下结果是正常的并不是异常的,当做一个例子看就行,异常的访问量很大的,有个几万和几十万不等,访问量大的话程序很容易down掉,并且日志
如何通过Nginx日志实时封禁风险IP
程序员麦冬的博客(公众号同名)
07-27 730
前言 本文分享了自动化采集、分析Nginx日志并实时封禁风险IP的方案及实践. 阅读这篇文章你能收获到: 日志采集方案. 风险IP评估的简单方案. IP封禁策略及方案. 阅读本文你需要: 熟悉编程. 熟悉常用Linux命令 了解Docker. 背景 分析nginx访问日志时, 看到大量404的无效请求, URL都是随机的一些敏感词. 而且近期这些请求越来越频繁, 手动批量封禁了一些IP后, 很快就有新的IP进来. 因此萌生了通过自动化分析Nginx日志实时封禁IP的想法. 需求 分析
了解Linux服务器日志文件与日志分析技巧
日志文件通常包含了大量的信息,如系统的启动和关闭时间、应用程序的运行状态、网络请求的响应时间等。通过对日志文件进行分析,我们可以了解服务器的运行状况、发现问题、定位故障以及优化性能。 ## 1.2 日志的...
linux下用netstat批量查询封IP-- - 不是很好!
weixin_34384915的博客
11-08 244
netstat -an | grep -v LISTEN | awk '{print $5}' |grep -v 218.xx.xx.x|sed "s/::ffff://g"|awk 'BEGIN { FS=":" } { Num[$1]++ } END { for(i in Num) if(Num[i]>8) { print i} }' |grep '[0-9]\{...
根据ngnix的访问日志进行自动封禁ip的功能
★【World Of Moshow 郑锴】★
01-21 1718
`根据ngnix的访问日志进行自动封禁ip的功能` 这个主题首先就是两个点 - 解析nginx的access.log访问日志,提取IP和判断数量 - 对超过一定访问限制的IP拉入小黑屋
linux的firewall查询禁用ip,linux防火墙查看状态firewall、iptable
weixin_39980596的博客
05-06 920
CentOS7 的防火墙配置跟以前版本有很大区别,CentOS7这个版本的防火墙默认使用的是firewall,与之前的版本Centos 6.x使用iptables不一样一、iptables防火墙1、基本操作查看防火墙状态service iptables status停止防火墙service iptables stop启动防火墙service iptables start重启防火墙service i...
linux封禁代理ip,Linux禁止IP、解封IP的方法
weixin_35884307的博客
05-09 411
iptables -A INPUT -s 222.89.227.30/32 -j ACCEPT 加入规则表iptables -A INPUT -s 116.255.169.12 -j DROP 删除规则表在Linux服务器被***的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的***的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。在Linux下封停IP,有封杀网段和封杀单个IP...
linux的firewall查询禁用ip,linux防火墙查看状态firewall和iptable
weixin_32823555的博客
05-06 1250
linux防火墙查看状态firewall和iptable · · · · · ·cenots7默认简化版安装。一、iptables防火墙1、基本操作# 查看防火墙状态service iptables status# 停止防火墙service iptables stop# 启动防火墙service iptables start# 重启防火墙service iptables restart# 永久关闭...
Linux服务器遇到攻击怎么办?用这些方法封禁IP
sbyntdx的博客
11-15 2847
Linux服务器就是采用Linux系统的网络服务器,我用的是小鸟云Linux服务器,用了很久一直都好好的,前几天突然遇到攻击,直接把CPU跑满很头大,后来咨询了技术,再结合自己在网上搜索到的信息,记录一下怎么获取攻击者的IP,然后封禁,来保护我们的云服务器。 如果攻击者攻击的是我们的web服务,默认是80端口,可以试下下面的代码,如果攻击的不是80端口的话,将下面的两个数字80改为你被攻击的端口即可。如果你需要显示多条记录,自己手动将head -n20调大就行。 netstat-anlp|g.
Linux服务器怎么封ip,linuxIP的方法 防cc攻击
weixin_39715187的博客
04-29 437
关于linuxIP说明2008-07-09 19:03单个IP的命令是iptables -I INPUT -s 211.1.0.0 -j DROP封IP段的命令是iptables -I INPUT -s 211.1.0.0/16 -j DROPiptables -I INPUT -s 211.2.0.0/16 -j DROPiptables -I INPUT -s 211.3.0.0/16 -j...
Linux服务器防火墙IP禁用和连接数查询命令
梁鑫的博客
01-17 1176
【代码】Linux服务器查用命令集锦。
linux被DDOS攻击防护
上善若水~的博客
11-14 713
Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOS攻击或者CC攻击时,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击时,我们可以通过使用 iptables 来手动封禁这些攻击者的IP,从而达到防护效果。今天墨者安全就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁。 通过 netstat 获取攻击者 IP 如果攻击者...
Linux常用命令,查看动态日志和错误分析定位
最新发布
07-07
Linux系统中,查看动态日志和错误分析定位是系统管理和故障排查的核心技能。以下是常用的命令和工具,涵盖日志查看、实时监控、错误过滤和分析方法: --- ### **1. 基础日志文件位置** Linux系统的主要日志文件通常位于 `/var/log/` 目录下,常见日志包括: - **`/var/log/syslog`**:通用系统日志(Ubuntu/Debian)。 - **`/var/log/messages`**:通用系统日志(CentOS/RHEL)。 - **`/var/log/auth.log`**:认证日志(如SSH登录、sudo操作)。 - **`/var/log/kern.log`**:内核日志(硬件、驱动相关)。 - **`/var/log/dmesg`**:内核启动日志(硬件检测)。 - **`/var/log/nginx/` 或 `/var/log/apache2/`**:Web服务器日志。 - **`/var/log/secure`**:安全日志(CentOS/RHEL的认证日志)。 --- ### **2. 实时查看日志(动态监控)** #### **(1) `tail -f`** 实时跟踪日志文件末尾的新增内容,常用于监控动态日志: ```bash tail -f /var/log/syslog ``` - **`-n 50`**:显示最后50行(可调整): ```bash tail -n 50 -f /var/log/nginx/error.log ``` #### **(2) `less` + `Shift+F`** 类似 `tail -f`,但支持翻页和搜索: ```bash less /var/log/syslog ``` 进入后按 `Shift+F` 进入实时跟踪模式,按 `Ctrl+C` 退出。 #### **(3) `journalctl`(Systemd系统)** Systemd系统的日志管理工具,支持实时监控和过滤: ```bash # 实时查看所有日志 journalctl -f # 查看特定服务的日志(如Nginx) journalctl -u nginx -f # 查看内核日志 journalctl -k -f ``` --- ### **3. 日志过滤与错误分析** #### **(1) `grep` 过滤关键词** 从日志中提取包含特定关键词的行(如错误、异常): ```bash # 查找包含"error"的日志 grep "error" /var/log/syslog # 忽略大小写 grep -i "failure" /var/log/auth.log # 显示匹配行及后3行(上下文) grep -A 3 "error" /var/log/nginx/error.log ``` #### **(2) `awk` 提取特定列** 按列提取日志中的关键信息(如时间、IP、状态码): ```bash # 提取Nginx日志中的IP和状态码 awk '{print $1, $9}' /var/log/nginx/access.log # 统计错误出现的次数 grep "error" /var/log/syslog | awk '{print $2}' | sort | uniq -c ``` #### **(3) `sed` 格式化日志** 替换或删除日志中的冗余信息: ```bash # 删除包含"debug"的行 sed '/debug/d' /var/log/syslog # 替换时间戳格式 sed 's/\[.*\]//' /var/log/nginx/error.log ``` --- ### **4. 高级日志分析工具** #### **(1) `logrotate`** 管理日志轮转,防止日志文件过大: ```bash # 查看logrotate配置 cat /etc/logrotate.conf # 手动触发日志轮转 logrotate -f /etc/logrotate.d/nginx ``` #### **(2) `multitail`** 同时监控多个日志文件(需安装): ```bash sudo apt install multitail # Debian/Ubuntu sudo yum install multitail # CentOS/RHEL # 同时监控syslog和nginx错误日志 multitail /var/log/syslog /var/log/nginx/error.log ``` #### **(3) `lsof` 查看被占用的日志文件** 检查哪个进程正在写入日志文件: ```bash lsof /var/log/syslog ``` --- ### **5. 错误定位实战示例** #### **场景1:分析Web服务器500错误** ```bash # 1. 查看Nginx错误日志 tail -n 100 -f /var/log/nginx/error.log # 2. 过滤500错误并统计频率 grep "500" /var/log/nginx/error.log | awk '{print $7}' | sort | uniq -c # 3. 结合访问日志分析请求路径 grep "500" /var/log/nginx/error.log | awk '{print $7}' | xargs -I {} grep {} /var/log/nginx/access.log ``` #### **场景2:排查SSH登录失败** ```bash # 1. 查看认证日志 grep "Failed password" /var/log/auth.log # 2. 统计失败IP grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr # 3. 封禁恶意IP(使用iptables) sudo iptables -A INPUT -s 192.168.1.100 -j DROP ``` --- ### **6. 日志归档与压缩** 长期保存日志时,建议归档和压缩: ```bash # 打包并压缩旧日志 sudo tar -czvf syslog_backup_$(date +%Y%m%d).tar.gz /var/log/syslog* # 清空当前日志(谨慎操作) sudo > /var/log/syslog ``` --- ### **总结** | 需求 | 命令/工具 | 示例 | |--------------------|-----------------------------------|-------------------------------------------| | 实时监控日志 | `tail -f`、`journalctl -f` | `tail -f /var/log/nginx/error.log` | | 过滤错误关键词 | `grep`、`awk` | `grep "error" /var/log/syslog` | | 多日志同时监控 | `multitail` | `multitail /var/log/syslog /var/log/nginx/error.log` | | 系统日志管理 | `journalctl`、`logrotate` | `journalctl -u nginx --since "2024-01-01"` | | 分析Web错误 | `grep` + `awk` 组合 | `grep "500" /var/log/nginx/error.log | awk '{print $7}'` | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值