开始

这类的的脚本网上很多,但是我测试下来,运行的有些问题,于是自己修改了一部分,测试没有问题后发上来,做个记录。

配置

自己的网站,国内是直连,国外是走CF(cloudflare),所以要正确的识别真实ip。

nginx配置

在nginx配置中的http里添加以下代码

#格式化nginx日志
log_format  main  '$clientRealIP [$fmt_localtime] "$request" '
              '$status $body_bytes_sent "$http_referer" '
              '$http_user_agent $request_time';
        map $host $fmt_localtime {
        default '';
}
#获取用户真实IP,并赋值给变量$clientRealIP
map $HTTP_CF_CONNECTING_IP  $clientRealIp {
                ""  $remote_addr;
                ~^(?P<firstAddr>[0-9\.]+),?.*$  $firstAddr;
}
log_by_lua_block {
        ngx.var.fmt_localtime = ngx.localtime();
}

在网站的nginx配置server中最后加上如下代码,让日志使用格式化函数

# 最后添加main,对应上方格式化函数名字
access_log  /www/wwwlogs/benzina.cn.log main;

shell脚本

#日志文件的目录
logfile=/www/wwwlogs/
last_minutes=1 
#开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)
start_time=`date -d "-1 minutes " +"%Y-%m-%d %H:%M:%S"`
#结束时间现在
stop_time=`date +"%Y-%m-%d %H:%M:%S"`
#过滤出单位之间内的日志并统计最高ip数,xxxxx.log修改成自己的日志名字
tac $logfile/xxxxx.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2" "$3,2,19);if(t>=st && t<=et) {print $0}}'\
| awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10
ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`
ip=`cat $logfile/log_ip_top10 | awk '{if($1>60)print $2}'`
# 单位时间[1分钟]内单ip访问次数超过60次的ip记录入black.log
for line in $ip
do
echo $line >> $logfile/black.txt
echo $line
# 这里还可以执行CF的API来提交数据到CF防火墙
done
# 填Cloudflare Email邮箱
CFEMAIL="xxxx@gmxxxxail.com"
# 填Cloudflare API key
CFAPIKEY="4xxxxxxxxxxxxxxxxxxxx"
# 填Cloudflare Zones ID 域名对应的ID
ZONESID="dxxxxxxxxxxxxxxxxxxx"
# /www/wwwlogs/black.txt存放恶意攻击的IP列表
# IP一行一个。
IPADDR=$(</www/wwwlogs/black.txt)
# 循环提交 IPs 到 Cloudflare  防火墙黑名单
# 模式(mode)有 block, challenge, whitelist, js_challenge
for IPADDR in ${IPADDR[@]}; do
echo $IPADDR
curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  -H "X-Auth-Email: $CFEMAIL" \
  -H "X-Auth-Key: $CFAPIKEY" \
  -H "Content-Type: application/json" \
  --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
done
# 删除 IPs 文件收拾干净
rm -rf /www/wwwlogs/black.txt

结束

最后在crontab -e定时执行shell脚本就行,频率自己决定。
在宝塔中配置很简单。

参考资料

笨牛网

发表评论