2014年6月

CSF结合DirectAdmin Brute Force Monitor自动封锁穷举IP

2015年1月13日更新!

在DirectAdmin管理员面板的Brute Force Monitor(穷举监视器)里,我们可以看到proftpd、sshd、exim等一直被暴力猜解,系统消息一封又一封的发过来遭到暴力猜解成百上千次都是同一个IP的行为,这是非常危险的,但我们不可能时刻关注消息手动一个一个的去封锁。我们可以结合CSF来实现自动封锁穷举IP!

cd /usr/local/directadmin/scripts/custom/
cp block_ip.sh block_ip.sh.bak
cp unblock_ip.sh unblock_ip.sh.bak

如果你没有 block_ip.sh 和 unblock_ip.sh 文件,会提示如下警告:

cp: cannot stat `block_ip.sh': No such file or directory
cp: cannot stat `unblock_ip.sh': No such file or directory

现在获取文件:

cd /usr/local/directadmin/scripts/custom/
wget -O block_ip.sh http://files.plugins-da.net/dl/csf_block_ip.sh.txt
wget -O unblock_ip.sh http://files.plugins-da.net/dl/csf_unblock_ip.sh.txt
wget -O show_blocked_ips.sh http://files.plugins-da.net/dl/csf_show_blocked_ips.sh.txt
chmod 700 block_ip.sh show_blocked_ips.sh unblock_ip.sh

创建白名单和黑名单文件

touch /root/blocked_ips.txt
touch /root/exempt_ips.txt

这时候你已经可以从 Brute Force Monitor 里手动选择IP地址禁止,但不会自动封锁。如果你想自动封锁,安装以下脚本

cd /usr/local/directadmin/scripts/custom
wget -O brute_force_notice_ip.sh http://files.directadmin.com/services/all/brute_force_notice_ip.sh
chmod 700 brute_force_notice_ip.sh

如果没有意外,这时候应该可以自动封锁穷举IP了。