189 8069 5689

宝塔面板自动拉黑恶意IP到Cloudflare防火墙

宝塔面板免费版本足够用了,所以我们从来也不去折腾什么开新版本,当然了土豪可以购买专业版,但是对于小编来说,免费版真的是足够好用,如果我们动手能力稍微强一点,那么使用起来和专业版也是没有什么差别的,而且都是自己动手,这样对于提高自己的服务器水平还是很有帮助的。

成都创新互联公司主营南漳网站建设的网络公司,主营网站建设方案,成都app软件开发,南漳h5微信小程序开发搭建,南漳网站营销推广欢迎南漳等地区企业咨询

关于 Cloudflare 也讲过不少了,不过今天还是要说的是它,如果我们的网站遭遇 CC 和 DDoS 攻击时,我们可以启用 Cloudflare 经典的 5 秒盾防攻击,如果把握不了攻击的频率的话,可以设置一个定时任务,当系统负载超过某一个值(一般来攻击会导致系统负载爆增),调用 Cloudflare API 启用 5 秒盾。

当然,如果我们是宝塔用户的话,那设置起来会更简单一点,但是当我们启用 Cloudflare CDN 时候,需要在 Nginx 中启用 Real IP 模块,然后利用脚本分析网站日志,从日志中搜集异常 IP,然后使用 Cloudflare API 批量将恶意 IP 添加到 Cloudflare 的防火墙当中。不过看这篇文章之前,我们需要了解下,如何启用 Real IP 模块。不过宝塔面板 6.9.0 默认是已经开启了 Real IP 模块,如图:

宝塔面板自动拉黑恶意IP到Cloudflare防火墙  

如果你的宝塔面板没有开启这个模块,可以按照上文就设置。这篇文章我们就说说如何利用 shell 脚本,自动拉黑恶意 IP 到 Cloudflare 防火墙,自动切换 5 秒盾防 CC 攻击。

一:定位恶意 IP

我们需要找到恶意 ip,可以利用脚本分析在一分钟单个 IP 访问的频率,超过一定的频率(一般来正常的访问,一分钟内应该不超过 60 次,你可以设置为更小),即认定为恶意 IP。宝塔面板的 shell 脚本如下:

  1. #/bin/bash
  2. #日志文件,如不是宝塔面板可以根据需要改成你自己的路径
  3. logfile=/www/wwwlogs/
  4. last_minutes=1
  5. #开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)
  6. start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'
  7. echo $start_time
  8. #结束时间现在
  9. stop_time=`date +"%Y-%m-%d %H:%M:%S"`
  10. echo $stop_time
  11. cur_date="`date +%Y-%m-%d`"
  12. echo $cur_date
  13. #过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径
  14. tac $logfile/www.daniao.org.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);
  15. if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10
  16. ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`
  17. ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`
  18. # 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.txt,这里为了测试设置了2,你需要改成其它的数字
  19. for line in $ip
  20. do
  21. echo $line >> $logfile/black.txt
  22. echo $line
  23. # 这里还可以执行CF的API来提交数据到CF防火墙
  24.   done

二:计划任务

关于宝塔面板的计划任务如何设置,就不多说了,我们看看如何把上面的 ip 定位的脚本放在计划任务中。点击计划任务选择 Shell 脚本即可如图:

宝塔面板自动拉黑恶意IP到Cloudflare防火墙 

这个脚本,我们需要测试是否可用,我们设置的是每隔 3 分钟执行一次,所以我们可以自己手动不停刷新自己的网站或者自己的测试站点即可。我们看看最终的效果,如图:

宝塔面板自动拉黑恶意IP到Cloudflare防火墙

几乎无时无刻没有扫描的,所以还是很有必要做一个防御的。

三:添加 IP 到 CF 防火墙

使用以下代码就可以将恶意 IP 批量添加到 Cloudflare 的防火墙了,记得替换为你的 Cloudflare API。

  1.  #!/bin/bash
  2.     # Author: Zhys
  3.     # Date  : 2018
  4.     # 填Cloudflare Email邮箱
  5.     CFEMAIL="daniao@gmail.com"
  6.     # 填Cloudflare API key
  7.     CFAPIKEY="xxxxxxxxxxxxxxxx"
  8.     # 填Cloudflare Zones ID 域名对应的ID
  9.     ZONESID="xxxxxxxxxxxxxxxxxxxx"
  10.     # /www/wwwlogs/black.txt存放恶意攻击的IP列表
  11.     # IP一行一个。
  12.     IPADDR=$(
  13.     # 循环提交 IPs 到 Cloudflare  防火墙黑名单
  14.     # 模式(mode)有 block, challenge, whitelist, js_challenge
  15.     for IPADDR in ${IPADDR[@]}; do
  16.     echo $IPADDR
  17.     curl -s -X POST "https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules" \
  18.       -H "X-Auth-Email: $CFEMAIL" \
  19.       -H "X-Auth-Key: $CFAPIKEY" \
  20.       -H "Content-Type: application/json" \
  21.       --data '{"mode":"block","configuration":{"target":"ip","value":"'$IPADDR'"},"notes":"CC Attatch"}'
  22.     done
  23.     # 删除 IPs 文件收拾干净
  24.     rm -rf /data/wwwlogs/black.txt
四:自动找出恶意 IP 并添加到防火墙

我们用宝塔面板当然是越省事越好,我们可以把定位 ip 和封锁 ip 到 CF 防火墙合并在一起。

#/bin/bash
    #日志文件,你需要改成你自己的路径
    logfile=/www/wwwlogs/
    last_minutes=1
    #开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)
    start_time= date +"%Y-%m-%d %H:%M:%S" -d '-1 minutes'
    echo $start_time
    #结束时间现在
    stop_time=`date +"%Y-%m-%d %H:%M:%S"`
    echo $stop_time
    cur_date="`date +%Y-%m-%d`"
    echo $cur_date
    #过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径
    tac $logfile/www.daniao.org.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,RSTART+14,21);
    if(t>=st && t<=et) {print $0}}' | awk '{print $1}' | sort | uniq -c | sort -nr > $logfile/log_ip_top10
    ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`
    ip=`cat $logfile/log_ip_top10 | awk '{if($1>2)print $2}'`
    # 单位时间[1分钟]内单ip访问次数超过2次的ip记录入black.txt,这里为了测试设置了2,你需要改成其它的数字
    for line in $ip
    do
    echo $line >> $logfile/black.txt
    echo $line
    # 这里还可以执行CF的API来提交数据到CF防火墙
    done
    # 填Cloudflare Email邮箱
    CFEMAIL="xxx@xxx.com"
    # 填Cloudflare API key
    CFAPIKEY="xxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
    # 填Cloudflare Zones ID 域名对应的ID
    ZONESID="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
    # /www/wwwlogs/black.txt存放恶意攻击的IP列表
    # IP一行一个。
    IPADDR=$(


网页名称:宝塔面板自动拉黑恶意IP到Cloudflare防火墙
网站地址:http://cdxtjz.cn/article/chjjio.html

其他资讯