利用 Autoban.py 阻止暴力破解$hadows*ck密码

前言

当我们浏览$$多用户服务器日志的时候,总会发现有很多类似于这样的日志:

2017-05-17 19:49:08 WARNING  common.py:236 unsupported addrtype 114, maybe wrong password or encryption method
2017-05-17 19:49:08 WARNING  tcprelay.py:535 Protocol ERROR, TCP ogn data 504f5354202f7365617263683f7372633d7479706426713d256462253234256639253934256431253861256363253064256232253261256131256133253632253162256336253137256363253230253662253133256662256263253262256534253465253761253937253534253536256531253936256666253761253932253332253732256262253635256634253235256333253266253230256566256563256332256439253336253562256337253664256430253336256533256638253762253961253236253130253135253737253437253337256562253233253165253161253439253830253930256436256465253165256435253635253536253434253065266c616e673d656e20485454502f312e310d0a486f73743a20686b312e73732e7a68756a69626f6b652e636f6d3a313034370d0a557365722d4167656e743a204d6f7a696c6c612f352e30202857696e646f7773204e5420362e333b2054726964656e742f372e303b2072763a31312e3029206c696b65204765636b6f0d0a4163636570743a20746578742f68746d6c2c6170706c69636174696f6e2f7868746d6c2b786d6c2c6170706c69636174696f6e2f786d6c3b713d302e392c2a2f2a3b713d302e380d0a4163636570742d4c616e67756167653a20656e2d55532c656e3b713d302e380d0a4163636570742d456e636f64696e673a20677a69702c206465666c6174650d0a436f6e74656e742d547970653a206d756c7469706172742f666f726d2d646174613b20626f756e646172793d486778726d4d79483966584173755039736465493450653468624d437875674b0d0a444e543a20310d0a436f6e6e656374696f6e3a206b6565702d616c6976650d0a0d0a7d9c7ac58613076dfd14422eadf834003ee0ab206bd7dc9764157c64ed73f83f6579cb98a858fe76c1fffe3a8b9fbacd33e4a526dbfc7de5ce8443ead7c1cd610e6a2ac0df2ea98af08d6944b1288a6d6ae4dc3f4207e40a692956aeab2e24ce83d68ca27c6e64ba85536952d90efbd7959ba6c50cde32e8871487723b420e447a52fd9f42b2eba42e49e2e51ddc7794ec152e856fbd4c45b739870b6f18a3747a780037c8343fdeac9dea698449a5170932a3c981c526e8f3f8edbc0ad72f5688482ecc1a11ddd9217d5d771bc6bc3b3e5b985391dcc4d193a2d2d25422f19e7b3a0d7bd2467dda7302c2324452b2346041190a28ca1ecd2a86a4425a2f384848a07dacdb190564affc62adb395e1e6b1b5306afe7a706a9cedfb4f116b6cbd54c07fd5d12f9f13ba29f99abe198fd79a2c5f69ed3476253361a1db3c746d15a716e6203cf9154665c2d0287730028d1cc33e117284d9b5a2f852f53c650cb3d726bd83af869dc47a1d6071cf52fbef147856 from ::ffff:183.3.184.50:16418 via port 1047 by UID 1047
2017-05-17 19:49:08 ERROR    tcprelay.py:1110 can not parse header when handling connection from ::ffff:183.3.184.50:16418
2017-05-17 19:49:09 WARNING  common.py:236 unsupported addrtype 179, maybe wrong password or encryption method

利用 Autoban.py 阻止暴力破解$hadows*ck密码

这个日志提示能告诉我们有人使用了错误的 加密方式 / 混淆方式 / 协议方式 / 密码 连接我们的SS服务器。

造成这种日志主要有两种可能:

  1. 有人无意间输入错了连接信息。
  2. 有人在恶意暴力破解你的某个端口的连接信息。

针对第二者,我们可以使用$$自带的脚本来实现自动封堵恶意破解者的IP地址。

使用方法

在$$的安装目录里有一个叫做 autoban.py 的文件,这个程序可以根据$$服务器日志来利用iptables封堵恶意攻击者的IP。

通用方法:

python autoban.py < SS日志文件

后台持续监测日志文件并封堵:

nohup tail -F 日志文件完整路径 | python autoban.py >log 2>log &

SSR服务器多用户模式:

python autoban.py < ../ssserver.log

缺点

这个方法的缺点也很明显,就是有可能把 输入错密码的用户的IP也封堵。

脚本集成

本部分功能已集成在 $$R-Bash-Python

原创文章,作者:雨落无声,如若转载,请注明出处:https://www.zhujiboke.com/2017/06/557.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息