CentOS7下利用自带防火墙+Nginx封堵高频访问的恶意IP

简介: CentOS7下利用自带防火墙+Nginx封堵高频访问的恶意IP


0x01 调整时间格式

首先:查看nginx的默认日志的时间格式

    [root@VM-0-13-centos ~]# more /var/log/nginx/access.log


    时间格式是:28/Jul/2021:03:36:02 +0800

    这个格式在写shell脚本的时候,date命令无法识别,所以我们需要更改nginx默认的日期格式。


    开始调整nginx的日志时间格式,找到nginx的配置文件:

      [root@VM-0-13-centos ~]# find / -name "nginx.conf"


      默认的日期格式如下:


      需要修改日期格式,修改如下

        log_format json '{"@timestamp":"$time_iso8601",'
                            '"clientip":"$remote_addr",'
                            '"request":"$request",'
                            '"http_user_agent":"$http_user_agent",'
                            '"size":"$body_bytes_sent",'
                            '"responsetime":"$request_time",'
                            '"upstreamtime":"$upstream_response_time",'
                            '"upstreamhost":"$upstream_addr",'
                            '"http_host":"$host",'
                            '"url":"$uri",'
                            '"domain":"$host",'
                            '"referer":"$http_referer",'
                            '"status":"$status"}';
            access_log  /var/log/nginx/access.log  json;


        重新加载nginx的配置文件,使配置生效:


        先查找可执行文件nginx的位置:

          [root@VM-0-13-centos nginx]# whereis nginx
          nginx: /usr/sbin/nginx /usr/lib64/nginx /etc/nginx /usr/share/nginx /usr/share/man/man3/nginx.3pm.gz /usr/share/man/man8/nginx.8.gz


          测试配置文件是否正确:

            [root@VM-0-13-centos nginx]# /usr/sbin/nginx -t
            nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
            nginx: configuration file /etc/nginx/nginx.conf test is successful


            is ok  就表示配置文件没有问题。


            重载使配置文件生效:

              [root@VM-0-13-centos nginx]# /usr/sbin/nginx -s reload


              再次查看nginx日志:


              0x02 编写封堵脚本

                #!/bin/bash
                #脚本详解:查询出nginx日志中访问量异常的ip进行封禁
                #方法有很多可以利用nginx的deny方法,也可以采用iptables
                #我这里采用centos7自带的firewalld
                #nginx日志位置
                nginx_access_log=/var/log/nginx/access.log
                ip=/var/log/nginx/ip.txt
                #一分钟内ip访问量统计排序
                cat /var/log/nginx/access.log | grep `date -d "1 minutes ago" +"%Y-%m-%d"T"%H:%M"`|awk -F '"' '{ print $8 }'  |sort |uniq -c |sort -rn  > ip.txt
                for i in `awk '{print $1}' ip.txt`
                do
                  if [ $i -gt 300 ]; then #设置的阈值为一分钟300次,即平均每秒访问5次判定为黑客攻击,当然也可以按秒统计次数
                  denyip=`grep $i ip.txt | awk '{print $2}'`   # 找出IP
                  #iptables -I INPUT -s $denyip -j DROP    #利用iptables开始封堵
                firewall-cmd --permanent --add-rich-rule="rule family=ipv4 destination address=$denyip reject"
                #利用firewalld开始封堵
                firewall-cmd --reload    #重新加载防火墙的热配置文件,使策略生效
                  echo $denyip > denyip.txt  #记录封堵结果
                  fi
                done


                核心语句分析:

                  [root@VM-0-13-centos ~]# cat /var/log/nginx/access.log | grep `date -d "1 minutes ago" +"%Y-%m-%d"T"%H:%M"`|awk -F '"' '{ print $8 }'  |sort |uniq -c |sort -rn
                  1 150.223.27.195
                  1 114.118.7.124
                  


                  上面的执行结果分析:表示在执行脚本的前一分钟内,nginx日志的每个ip的访问次数,前面的数字就是访问次数,后面一列是访问的ip。


                  0x03 脚本放入计划任务

                    [root@VM-0-13-centos ~]# vim  /etc/crontab


                    每分钟执行一次脚本:

                    注意:这里的执行频率要与上面的日志统计时间间隔相对应。

                      */1 * * * *  root /root/fengduip.sh


                      0x04 测试脚本

                      通过循环的方式使127.0.0.1作为了异常访问的ip

                        [root@VM-0-13-centos nginx]# curl http://127.0.0.1

                        开始循环访问:

                          while true; do curl http://127.0.0.1; done

                          查看生成的日志:

                            [root@VM-0-13-centos nginx]# tail -20f /var/log/nginx/access.log

                            相关文章
                            |
                            11天前
                            |
                            应用服务中间件 nginx
                            树莓派安装Nginx服务结合内网穿透实现无公网IP远程访问
                            树莓派安装Nginx服务结合内网穿透实现无公网IP远程访问
                            |
                            8天前
                            |
                            Shell Linux 应用服务中间件
                            centos系统内容器部署服务访问不到是因为run后面加了bash
                            centos系统内容器部署服务访问不到是因为run后面加了bash
                            |
                            11天前
                            |
                            网络协议 Linux 网络安全
                            CentOS 7 防火墙指令
                            本文介绍了CentOS 7中管理防火墙`firewalld`的指令。
                            18 0
                            |
                            11天前
                            |
                            域名解析 弹性计算 应用服务中间件
                            基于nginx反向代理实现OSS固定域名IP访问
                            本文基于阿里云OSS手册:https://help.aliyun.com/zh/oss/use-cases/use-an-ecs-instance-that-runs-centos-to-configure-a-reverse-proxy-for-access-to-oss,继续深入讨论如何利用nginx反向代理,实现固定的IP/域名访问OSS bucket。官方文档能够解决大部分的反向代理固定IP访问oss bucket的场景,但是对于必须使用域名作为endpoint的系统,会出现signatrue鉴权问题。本文继续在官方文档的基础上,将反向代理需要域名作为endpoint的场景补齐方案。
                            |
                            11天前
                            |
                            存储 关系型数据库 Linux
                            CentOS如何使用Docker部署Plik服务并实现公网访问本地设备上传下载文件
                            CentOS如何使用Docker部署Plik服务并实现公网访问本地设备上传下载文件
                            38 4
                            |
                            11天前
                            |
                            应用服务中间件 nginx
                            如何在树莓派部署Nginx并实现无公网ip远程访问内网制作的web网站
                            如何在树莓派部署Nginx并实现无公网ip远程访问内网制作的web网站
                            13 0
                            |
                            11天前
                            |
                            运维 安全 Linux
                            如何在CentOS7一键安装宝塔面板并实现固定地址访问内网宝塔进行管理
                            如何在CentOS7一键安装宝塔面板并实现固定地址访问内网宝塔进行管理
                            |
                            11天前
                            |
                            监控 数据可视化 安全
                            如何查找访问 Nginx 的前 10 个 IP?
                            【5月更文挑战第1天】
                            26 1
                            如何查找访问 Nginx 的前 10 个 IP?
                            |
                            11天前
                            |
                            监控 网络协议 安全
                            【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
                            【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
                            |
                            11天前
                            |
                            XML 安全 Linux
                            【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
                            【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作

                            热门文章

                            最新文章