Linux下apache防恶意访问(攻击)脚本

一、场景：由于公司在行业这块比较出名，经常会受到竞争对手的恶意攻击，导致网站经常访问瘫痪

二、分析：1、某一天内某些IP访问量非常大，2、某一IP连接访问超过的次数到达一定的次数(本文中设置为8)

三、解决思路：通过第二点分析出来的两点问题进行拦截，但要注意的只，只拦截有效URL或者是我们想拦截的URL，举个例子，一个客户访问了网站首页，但客户的请求一次网站首页，连带的同时客户也请求了网站首页所需求加载的各个图片、css、js等资源，这些请求我们是不能算在客户请求里的，对于这样的客户有效访问只算一次，即他只访问了首页

四、提前说明：网站的apache访问日志是一天分割两次的，这样的话，每天的apache访问日志量不会太大，程序分析起来效率会快很多

五、先看一下shell脚本(该shell脚本可以在linux crontab里设置分1到3分钟执行一次)：

#!/bin/sh

#危险负载阈值，当系统负载达到该值时启动拦截程序

TOP_SYS_LOAD_NUM=2.1

#安全负载阈值，当系统负载达到该值时关闭拦截程序

SAFE_SYS_LOAD_NUM=0.5

#apache危险连接数，当apache连接数达到该值时启动拦截程序(与系统负载的阈值是“或”的关系)

HTTPD_PROCESS_NUMBER_MAX=350

#apache危险连接数，当apache连接数低于该值时关闭拦截程序(与系统负载的阈值是“且”的关系)

HTTPD_PROCESS_NUMBER_SAFE=250

SYS_LOAD_NUM=`uptime | awk '{print $(NF-2)}' | sed 's/,//'`

HTTPD_PROCESS_NUMBER=`ps -ef | grep httpd | wc -l`

#拦截文件标识(以些来判断是否已经处理拦截状态)

FILEPATH=/var/www/html/test/.htaccess_under_attack.id

ISOLDCONFIGFILE=""

echo $(date +"%y-%m-%d") `uptime`

echo $HTTPD_PROCESS_NUMBER

#满足条件时启动拦截

if [ `echo "$TOP_SYS_LOAD_NUM < $SYS_LOAD_NUM"|bc` -eq 1 ] || [ `echo "$HTTPD_PROCESS_NUMBER_MAX < $HTTPD_PROCESS_NUMBER"|bc` -eq 1 ]

then

        #如果之前已经开始拦截(创建了拦截文件)，那么拦截日志一行的后面会加多加一段显示“更新后”，如【图1】

if [ -f $FILEPATH ]

        then

                ISOLDCONFIGFILE="\t更新后"

        #否则创建拦截文件，如下【图2】

else

                touch $FILEPATH

        fi

#切换到拦截网站的根目录

        cd /var/www/html/test/crond/

#运行拦截php程序

        /usr/bin/php -q crond_under_attack.php > /dev/null 2>&2

#将php程序更新好的apache的重写文件.htaccess_under_attack覆盖到根目录

        cp /var/www/html/test/.htaccess_under_attack /var/www/html/test/.htaccess_under_attack_temp

        mv -f /var/www/html/test/.htaccess_under_attack_temp /var/www/html/test/.htaccess

        #已启动拦截程序，并将“使用黑名单(智能加强)配置文件”记录日志，如【图2】

echo -e "##" $(date +"%Y-%m-%d %H:%M:%S") " 使用黑名单(智能加强)配置文件"""$ISOLDCONFIGFILE >> /var/www/html/test/log/apache_access/apache_access_$(date +%Y%m%d).txt

#否则我们不执行拦截程序，或者记录日志告诉我们：之前处于拦截状态，现在已安全，并使用了默认配置文件，并将“使用了默认配置文件”这段话记录在日志，如【图3】

else

if [ -f $FILEPATH ] && [ `echo "$SAFE_SYS_LOAD_NUM > $SYS_LOAD_NUM"|bc` -eq 1 ] && [ `echo "$HTTPD_PROCESS_NUMBER_SAFE > $HTTPD_PROCESS_NUMBER"|bc` -eq 1 ]

then

rm -f $FILEPATH

cp /var/www/html/test/.htaccess_default /var/www/html/test/.htaccess_default_temp

mv -f /var/www/html/test/.htaccess_default_temp /var/www/html/test/.htaccess

echo "##" $(date +"%Y-%m-%d %H:%M:%S") " 使用默认配置文件" >> /var/www/html/test/log/apache_access/apache_access_$(date +%Y%m%d).txt

else

echo "Do nothing" `uptime`

fi

fi

六、shell脚本调用的php脚本(自动检测和更新黑名单)如下：

<?php

$match_string = "index.php?action=login";

$match_string_second = "script>";

//连续访问最大次数

$match_time = 8;

//日志文件最后300行最多访问次数

$matched_numbers_300 = 40;

//ip白名单

$ip_white_array = array('172.68.34.45','172.68.46.82');

//根据不同的时间段，设置一个IP最大的访问次数，如现在是16点那么，一个判断的标准就是该ip在日志中出现的有效访问次数不能超过4000

$matched_numbers = 3000;

$date_hour = date("H");

if(in_array($date_hour, array('06', '07', '19', '20'))) {

$matched_numbers = 800;

} else if(in_array($date_hour, array('03', '04', '05', '16', '17', '18'))) {

$matched_numbers = 4000;

}

$log_dir = "../log/under_attack";

//获取apache配置文件的内容

$htaccess_content = file_get_contents("/var/log/httpd/access_test_log");

$htaccess_content_array = explode("\n", $htaccess_content);

$htaccess_content_array_count = count($htaccess_content_array);

$htaccess_content_array_300 = array_splice($htaccess_content_array, $htaccess_content_array_count - 300, 300);

$hack_array = array();

$hack_array_number = array();

//字符串中带有这些访问标识的不记录在有效访问次数中

$match_char = "/(OPTIONS |ajax_|.jpg|.jpeg|.png|.gif|.bmp|.js|.css)/i";

$date_hour = intval(date("H"));

foreach($htaccess_content_array as $htaccess_value) {

$line_array = explode(" - - ", $htaccess_value);

if(!preg_match($match_char, $htaccess_value)) {

array_push($hack_array_number, $line_array[0]);

} else if(strstr($htaccess_value, $match_string)) {

array_push($hack_array, $line_array[0]);

} else if(strstr($htaccess_value, $match_string_second)) {

array_push($hack_array, $line_array[0]);

}

}

$hack_array_300 = array();

$hack_array_number_300 = array();

foreach($htaccess_content_array_300 as $htaccess_value_300) {

$line_array_300 = explode(" - - ", $htaccess_value_300);

if(!preg_match($match_char, $htaccess_value_300)) {

array_push($hack_array_number_300, $line_array_300[0]);

} else {

array_push($hack_array_300, $line_array_300[0]);

}

}

$under_attack_ips_insert = "";

$under_attack_log = "";

$hack_total = array();

foreach($hack_array_number as $hack_value) {

if(!in_array($hack_value, $ip_white_array)) {

if(!isset($hack_total[$hack_value])) {

$hack_total[$hack_value] = 1;

} else {

$hack_total[$hack_value] = $hack_total[$hack_value] + 1;

}

}

}

foreach($hack_total as $total_key => $total_value) {

if($total_value < $matched_numbers) {

unset($hack_total[$total_key]);

}

}

foreach($hack_array as $hack_value) {

if(!in_array($hack_value, $ip_white_array)) {

if(!isset($hack_total[$hack_value])) {

$hack_total[$hack_value] = 1;

} else {

$hack_total[$hack_value] = $hack_total[$hack_value] + 1;

}

}

}

foreach($hack_total as $hack_key => $hack_time) {

if($hack_time >= $match_time) {

$under_attack_ips_insert .= "Deny from " . $hack_key . "\n";

$under_attack_log .= $hack_key . "\t" . $hack_time . "\n";

}

}

/***********取倒数300行数据进行分析开始************/

$hack_total_300 = array();

foreach($hack_array_number_300 as $hack_value_300) {

if(!in_array($hack_value_300, $ip_white_array)) {

if(!isset($hack_total_300[$hack_value_300])) {

$hack_total_300[$hack_value_300] = 1;

} else {

$hack_total_300[$hack_value_300] = $hack_total_300[$hack_value_300] + 1;

}

}

}

foreach($hack_total_300 as $total_key => $total_value) {

if($total_value < $matched_numbers) {

unset($hack_total_300[$total_key]);

}

}

foreach($hack_array_300 as $hack_value_300) {

if(!in_array($hack_value_300, $ip_white_array)) {

if(!isset($hack_total_300[$hack_value_300])) {

$hack_total_300[$hack_value_300] = 1;

} else {

$hack_total_300[$hack_value_300] = $hack_total_300[$hack_value_300] + 1;

}

}

}

foreach($hack_total_300 as $hack_key_300 => $hack_time_300) {

if($hack_time_300 >= $matched_numbers_300) {

$under_attack_ips_insert .= "Deny from " . $hack_key_300 . "\n";

$under_attack_log .= $hack_key_300 . "\t" . $hack_time_300 . "\texceed " . $matched_numbers_300 . " in line " . count($hack_array_number_300) . "/300\n";

}

}

/***********取倒数300行数据进行分析结束***********/

//要切割的文件模式如【图4】

$under_attack_split = "#under_attack_ips";

$under_attack_htaccess = file_get_contents("../.htaccess_under_attack");

$under_attack_htaccess_array = explode($under_attack_split, $under_attack_htaccess);

//写入配置文件

$under_attack_htaccess_content = $under_attack_htaccess_array[0] . $under_attack_split . "\n" . $under_attack_ips_insert . $under_attack_split . $under_attack_htaccess_array[2];

file_put_contents("../.htaccess_under_attack", $under_attack_htaccess_content);

file_put_contents($log_dir . "/under_attack_log_" . date("YmdHis") . "_" . $htaccess_content_array_count . ".txt", $under_attack_log);

?>

七、大功告成，至此之后网站抵御了99%的攻击

————————————————

版权声明：本文为CSDN博主「wantianwen」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。

原文链接：https://blog.csdn.net/WanTianwen/article/details/81980138

    有服务器需求请加QQ1911624872咨询