Descobre e bloqueia o IP de quem mais tem conexão no servidor

Publicado por Ricardo Lino Olonca (última atualização em 31/10/2012)

[ Hits: 7.681 ]

Homepage: ricardoolonca.blogspot.com.br

Download nconexao.sh

0 0
Denuncie   Favoritos   Indicar  



Resolvi publicar esse script depois que um amigo aqui do VOL publicou algo parecido.

Esse script, que começou a nascer da necessidade de limitar o número de conexões em um servidor web, fui mudando aos poucos. Agora ele deve rodar via cron, bloqueia quem tiver mais do que 100 conexões ativas simultâneas no servidor, bloqueia tentativas de ataque por força-bruta (20 erros) e também bloqueia quem ultrapassa os limites definidos pelo Apache/SuHosin.

Além desse script, rodo outros programas nos servidores, como Snort, Fail2ban etc.

  



Esconder código-fonte

#!/bin/bash
# Descobre e bloqueia o ip de quem mais tem conexao no servidor
# Feito por Ricardo Lino Olonca em 15/12/2011
# Versao 0.0.1 - Passei a considerar apenas conexoes estabelecidas - Ricardo Lino Olonca - 19/12/2011
#   0.1 - Bloqueio de tentativa de invação por ataque de forca buta no ssh - Ricardo Lino Olonca - 29/12/2011
#       Corrigido o ip da rede dmz
#   0.1.1 - Trocado "cut" por "awk" no processo de forca bruta para corrigir o erro em dias menores que 10 - Ricardo Lino Olonca - 02/01/2012
#     0.1.2 - Corrigido o erro na mensagem quando encontra ataque pelo Suhosin - Ricardo Lino Olonca - 11/04/2012
#     0.1.3 - Corrigido o erro na mensagem quando encontra ataque pelo Suhosin - Ricardo Lino Olonca - 12/04/2012
#     0.1.4 - Exclui o ip 127.0.0.1 da checagem das conexões - Ricardo Lino Olonca - 16/05/2012
#     0.1.5 - A checagem das conexões agora servem para o Linux em português e em inglês - Ricardo Lino Olonca - 05/10/2012
#set -x

# Variaveis

# Máximo de conexoes simultaneas
LIMITE=100

# Máximo de tentativas de autenticacao
AUTH=20

# Email que recebera o aviso
EMAIL='ricardo.olonca@vivaolinux.com.br'

# Checa se o numero de conexoes ultrapassou o limite e bloqueia o ip em caso afirmativo
maior=`netstat -na | grep ^tcp | grep ESTAB | awk '{print $5}' | cut -d":" -f1 | grep -v 0.0.0.0 | grep -v 127.0.0.1 | sort | uniq -c | sort -nr | head -1`
n=`echo $maior | awk '{print $1}'`
if [ $n -gt $LIMITE ]
then
  ip=`echo $maior | awk '{print $2}'`
  /sbin/iptables -nL | grep $ip 2>/dev/null >/dev/null
  if [ $? -eq 1 ]
  then
    /sbin/iptables -A INPUT -s $ip -j DROP 2>/dev/null >/dev/null
    logger "Ip $ip bloqueado com $n conexoes"
    for i in $EMAIL   
    do
   echo "O ip $ip foi bloqueado com $n conexoes no servidor `hostname`" | /usr/bin/sendemail -f root@vivaolinux.com.br -t $i -u "Bloqueio de ip" -s smtp.vivaolinux.com.br
    done
  fi
fi

# Checa se o Suhosin achou algum tipo de ataque
for i in `grep suhosin /var/log/syslog | cut -d"(" -f2 | cut -d"'" -f2 | grep ^[0-9] | sort | uniq `
do
  /sbin/iptables -nL | grep $i 2>/dev/null >/dev/null
  if [ $? -eq 1 ]
  then
    /sbin/iptables -I INPUT -s $i -j DROP 2>/dev/null >/dev/null
    logger "Ip $i bloqueado devido a tentativa de ataque detectada pelo Suhosin"
    for j in $EMAIL
    do
   echo "O ip $i foi bloqueado no servidor `hostname` devido a tentativa de ataque detectada pelo Suhosin" | /usr/bin/sendemail -f root@vivaolinux.com.br -t $j -u "Bloqueio de ip" -s smtp.vivaolinux.com.br
    done
  fi
done

# Checa se houve tentativas de ataque por forca bruta
for i in `grep invalid /var/log/auth.log | awk '{print $13}' | sort | uniq -c | sort -nr | awk '{print $1";"$2}'`
do
  numero=`echo $i | cut -d";" -f1`
  if [ $numero -ge $AUTH ]
  then
    ip=`echo $i | cut -d";" -f2`
    /sbin/iptables -nL | grep $ip 2>/dev/null >/dev/null
    if [ $? -eq 1 ]
    then
   /sbin/iptables -I INPUT -s $ip -j DROP 2>/dev/null >/dev/null
   logger "Ip $i bloqueado devido a tentativa de ataque por força bruta"
   for i in $EMAIL
   do
     echo "O ip $ip foi bloqueado no servidor `hostname` devido a tentativa de ataque por forca bruta" | /usr/bin/sendemail -f root@vivaolinux.com.br -t $i -u "Bloqueio de ip" -s smtp.vivaolinux.com.br
       done
    fi
  fi
done

Scripts recomendados

Script para Backup em PenDrive - Personalizável

Tabela do Campeonato Brasileiro Direto no Terminal

Usando dialog para adiciona usuários no squid

multiinstall

diskSpace - acha os dez maiores gastadores de espaço em disco


  

Comentários

Nenhum comentário foi encontrado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Como o GNOME conseguiu o feito de ser preterido por outras interfaces gráficas

Gentoo binário em 2026: UEFI, LUKS, Btrfs e Systemd

Trabalhando Nativamente com Logs no Linux

Jogando Daikatana (Steam) com Patch 1.3 via Luxtorpeda no Linux

LazyDocker – Interface de Usuário em Tempo Real para o Docker

Dicas

Gentoo: eix

Gentoo: equery + flaggie

Por que sua empresa precisa de uma PKI (e como automatizar EMISSÕES de certificados via Web API)

Instalando NoMachine no Gentoo com Systemd (acesso Remoto em LAN)

Gentoo: Trocando wpa_supplicant pelo iwd no NetworkManager (Systemd)

Tópicos

O que houve com slackware ??? (11)

Necessário autenticar ao imprimir - Ubuntu X Windowns (0)

O Free Download Manager não abre no Fedora 43 KDE Plasma (2)

Permissão acesso as pastas servidor Ubuntu Server 24.04 (5)

Quando vocês pararam de testar distros? (22)

Top 10 do mês

Scripts

[Shell Script] Flatpak manager

[Outros] Script de limpeza, atualização e verificação de erros no Debian - v7

[Shell Script] Telegram direto do site

[Python] Redes Neurais

[Java] Calculadora com Opções em Java

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: