自写程序防止Linux FTP爆力破解

林继 VPS 知识 1,778 共写了879个字 (2012-12-29 21:50:44) 没有评论 打印 扫描二维码 百度已收录

最近发现Linux扫描SSH,MYSQL,FTP进行用户爆力破解越来越猖獗!特意写了脚本程序来解决下,理论上说:只要是对外网络应用服务,此脚本可以通用,因为它的实现原理很简单“通过程序读取->带登录信息验证的日志文件->调用iptables直接进行封杀”

脚本下载地址:

下载文件
点击这里下载文件

我以FTP举列,我使用Pure-ftp作为FTP服务器,它日志文件跟系统日志文件绑定在一起:/var/log/messages 知道这些以后,我说下如何使用此脚本

一:修改脚本参数如下

1. vi ftp 打开此脚本,找到#Basic steup对如下5个参数跟据你实际需求修改.

  1. #Basic steup  
  2. ftp= '21'  服务端口
  3. log_path = '/var/log/messages' FTP日志文件位置
  4. ip_count= '30' 累计验证失败多次,进行封杀
  5. aut_message = tm[4:10]+ '.*pure-ftpd.*failed.*' 抓取FTP日志失败验证信息
  6. list_path='ip_list.txt 记录封杀IP列表目录(此文件程序会自动创建)
  7. 注意:aut_message = tm[4:10]+ '.*pure-ftpd.*failed.* 这可能有些人迷糊,这怎么改啊。

A: tm[4:10]代表当前时间,这个不需要改

B: .* 代表多个字符串

下面是我的失败验证信息格式,这句意思:tm[4:10](当前时间)+ ‘.*pure-ftpd.*(从pureftpd)failed.*(到failed及后面结尾) 明白了吧

  1. Aug 20 21:44:54 localhost pure-ftpd: (?@192.168.2.2) [WARNING] Authentication failed for user [kkk]

说明:通过修改如上5个参数,可以得出结论是:当天同一个IP使用FTP登录验证失败30次以上,进行IP封杀

二:使用脚本

1:chmod 700 ftp 设置权限

2:./ftp 手动运行该脚本,如果发现如下报错,是因为日志文件内容中没有登录失败信息,这个报错可以忽略!

  1. Traceback (most recent call last): 
  2. File "./ftp", line 49, in <module> 
  3. D.iptables() 
  4. File "./ftp", line 40, in iptables 
  5. for ip in self.ip_list.readlines(): 
  6. AttributeError: port instance has no attribute 'ip_list'

3:vi /etc/crontab 在计划任务里面,创建每隔1分钟运行一次

  1. * * * * * root /ftp

三:测试脚本是否成功

怎么测试呢,5个基本参数中ip_count 数字改小,我这里改成ip_count= ‘1’

然后使用FTP故意输错密码,让它验证下,

然后等一分钟,使用iptables –list 看看是否被封杀了

在重新登录FTP试试,连登录信息没木有了,完全屏蔽了

好了就到这里了,祝大家好运!最后附下原代码

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

< >