Chinaunix首页 | 论坛 | 博客

十万个菜鸟的ChinaUnix博客

首页 |  博文目录 |  关于我

十万个菜鸟

  • 博客访问: 22092
  • 博文数量: 4
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 42
  • 用 户 组: 普通用户
  • 注册时间: 2014-06-24 11:08
文章分类

全部博文(4)

文章存档

2015年(3)

2014年(1)

我的朋友
最近访客
推荐博文
相关博文
python脚本分析/var/log/secure登录日志进行ssh防暴力破解

分类: 网络与安全

2015-03-27 17:11:24

    在工作中,我发现只要开放到公网的主机,都会受到各种攻击的威胁,常见的就是ssh暴力破解,以下是一个python脚本,对/var/log/secure登录日志中的ssh记录进行简单分析,并将一周内多次进行破解试探的ip地址,存入到/etc/hosts.deny中拒绝其连接,代码于centos6.5下测试正常工作。如需定期执行,可以配合crond使用。

点击(此处)折叠或打开

  1. #!/usr/bin/env python
  2. # Hackers try to login in servers by ssh too much times, in /var/log/secure you can find it .The script will add hackers's ip to /etc/hosts.deny last a week
  3. #by hank 2015-03-27

  5. import re
  6. from datetime import date

  8. logfile = r'/var/log/secure'
  9. denyfile = r'/etc/hosts.deny'
  10. months_31 = ['Jan','Mar','May','Jul','Aug','Oct','Dec']
  11. months_30 = ['Apr','Jun','Sep','Nov']
  12. month_28or29 = 'Feb'
  13. months = {
  14.           'Jan':1,'Feb':2,'Mar':3,'Apr':4,'May':5,'Jun':6,
  15.           'Jul':7,'Aug':8,'Sep':9,'Oct':10,'Nov':11,'Dec':12
  16.          }
  17. month_days = {}
  18. for mon in months_31:
  19.     month_days[mon] = 31
  20. for mon in months_30:
  21.     month_days[mon] = 30
  22. if date.isocalendar(date.today())[0] % 4 == 0:
  23.     month_days[month_28or29] = 29
  24. else:
  25.     month_days[month_28or29] = 28

  27. def search_source():
  28.     t = date.today()
  29.     month = t.strftime('%b')
  30.     day = t.strftime('%d')
  31.     pat = re.compile('.+sshd.+Failed password.+ (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) .+')
  32.     lines = []
  33.     f = open(logfile,'r')
  34.     for line in f:
  35.         if line.split()[0] == month and (int(day) - int(line.split()[1])) < 7 and (int(day) - int(line.split()[1])) >= 0:
  36.             if re.search(pat,line):
  37.                  lines.append(line)
  38.         elif (months[month] - months[line.split()[0]]) == 1 or (months[month] - months[line.split()[0]]) == -11:
  39.             if (int(day) + month_days[line.split()[0]] - int(line.split()[1])) < 7 and re.search(pat,line):
  40.                 lines.append(line)
  41.     return lines

  43. def count_ips(lines):
  44.     count = {}
  45.     if len(lines) == 0:
  46.         print 'No one use ssh and failed.'
  47.         raise SystemExit
  48.     pat = re.compile(' (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) ')
  49.     for line in lines:
  50.         ip = re.findall(pat,line)[0]
  51.         if ip in count:
  52.             count[ip] += 1
  53.         else:
  54.             count[ip] = 1
  55.     return count

  57. def deny_ips(count):
  58.     f = open(denyfile,'w')
  59.     valve = 50
  60.     for ip in count:
  61.         if count[ip] >= valve:
  62.             word = 'ALL: %s #failed %d times in a week.\n' % (ip,count[ip])
  63.             f.write(word)
  64.     f.close()

  66. def main():
  67.     lines = search_source()
  68.     count = count_ips(lines)
  69.     deny_ips(count)

  71. if __name__ == '__main__
  72.     main()
如果使用非root账户,那么得对这两个文件具有读(/var/log/secure)写(/etc/hosts.deny)权限方可进行。
使用方法:

点击(此处)折叠或打开

  1. #cp /etc/hosts.deny /etc/hosts.deny.bak #备份源文件
  2. #vim much_failed_ssh_deny.py #添加代码
  3. #chmod +x much_failed_ssh_deny.py #授予执行权限
  4. #./much_failed_ssh_deny.py #执行脚本
  5. #cat /etc/hosts.deny  #查看结果

阅读(5172) | 评论(0) | 转发(0) |
0

上一篇:python核心编程第六章第八题

下一篇:没有了

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6