[网络实践] 将恶意ip加入ssh黑名单的自动化shell脚本实现

time=`date '+%Y/%m/%d %H:'``date -d '1 minute ago' '+%M'`':[00-59]'
num=`grep "$time" /root/frp_0.37.0_linux_386/nohup.out | grep -c 'ssh'`  
echo "`date '+%Y/%m/%d %H:%M:%S'` 过去一分钟的ssh请求个数为: $num" >> /root/frp_0.37.0_linux_386/autoban2.log
if [ $num -ge 3 ]
then
    echo "`date '+%Y/%m/%d %H:%M:%S'` 过去一分钟的ssh请求个数大于3，开始反击！" >> /root/frp_0.37.0_linux_386/autoban2.log
    ips=(`grep "$time" /root/frp_0.37.0_linux_386/nohup.out | grep 'ssh' | awk '{print substr($NF, 2, index($NF, ":")-2 )}'`)
    declare -A ipinfo
    for ip in ${ips[@]}
    do
        let ipinfo[$ip]++
    done

    for ip in ${!ipinfo[@]} #数组前面加叹号表示取下标，而不是取值
    do
        num=${ipinfo[${ip}]}
        echo "`date '+%Y/%m/%d %H:%M:%S'` $ip 访问次数: $num" >> /root/frp_0.37.0_linux_386/autoban2.log
        if [ $num -ge 3 ]
        then
            echo "`date '+%Y/%m/%d %H:%M:%S'` 该ip在1分钟内访问超过三次，已经锁定，准备开ban！" >> /root/frp_0.37.0_linux_386/autoban2.log
            iptables -I INPUT -p tcp -s $ip --dport 8022 -j DROP
            echo "`date '+%Y/%m/%d %H:%M:%S'` 已经成功ban掉恶意ip $ip" >> /root/frp_0.37.0_linux_386/autoban2.log
        fi
    done
fi