Linux之使用shell脚本实现ssh登录报警-ITB运维部落—http://www.itbcn.cn—ITB运维技术交流之家平台
记录工作点滴
分享运维知识

Linux之使用shell脚本实现ssh登录报警

摘要

如果你服务器被入侵了,该怎么做才能让自己第一时间知晓?本文将教您实现,服务器被人登录之后第一时间通知你。本文说的只是邮件短信咱不说。其实我自己没想到/etc/profile文件的特殊之处,开始和海海交流的时候我的思维还局限在secure日志和ssh的socket上。这里非常感谢他让我见识到了我的目光是如何短浅,思维是如何的不发散。海海博客:https://www.deamwork.com,此人玩的是信息安全,生者勿近。

 

先来看看博主的演示

邮件的:

短信的:

1、首先来配置发件环境,这里介绍CentOS

yum install perl-IO-Socket-SSL perl-Net-SSLeay -y
wget http://www.dwhd.org/wp-content/uploads/2015/07/sendEmail-v1.56.tar.gz -O /tmp/sendEmail-v1.56.tar.gz
cd /tmp
tar xf sendEmail-v1.56.tar.gz
mv sendEmail-v1.56/sendEmail /usr/local/bin/
chmod +x /usr/local/bin/sendEmail && cd
wget http://stedolan.github.io/jq/download/linux64/jq -O /usr/local/bin/jq
chmod +x /usr/local/bin/jq

2、然后配置报警邮件

 wget http://www.dwhd.org/script/WarringLoging.sh -O /etc/WarringLoging.sh
chmod +x /etc/WarringLoging.sh
#echo "screen -fa -d -m -S WL /etc/WarringLoging.sh" >> /etc/profile #第一种方法,新开终端复制终端都会报警
#echo -e "#!/bin/bash\nbash /etc/WarringLoging.sh" >> /etc/ssh/sshrc #第二种方法,只有ssh登录才会报警
#上面两种方法任选一个都可以

3、最后编辑收发邮件的信息

vi /etc/WarringLoging.sh

4、下面是报警邮件脚本

#!/bin/bash
#########################################################################
# File Name: WarringLoging.sh
# Author: LookBack
# Email: admin#dwhd.org
# Version:
# Created Time: Wed 22 Jul 2015 01:41:09 AM CST
#########################################################################

eval `curl -s "http://ip.taobao.com/service/getIpInfo.php?ip=${SSH_CLIENT%% *}" | jq . | awk -F':|[ ]+|"' '$3~/^(country|area|region|city|isp)$/{print $3"="$7}'`

EMAIL=`which sendEmail`
FEMAIL="admin#dwhd.org" #发件邮箱
MAILP="MzU0ODZjOWI0MWU3" #发件邮箱密码
MAILSMTP="smtp.dwhd.org" #发件邮箱的SMTP
MAILT="393411264#qq.com" #收件邮箱
MAILmessage="登入者IP地址:${SSH_CLIENT%% *}\n\
IP归属地:${country}_${area}_${region}_${city}_${isp}\n\
被登录服务器IP:$(curl -s ip.cn| grep -Eo '([0-9]{1,3}[\.]){3}[0-9]{1,3}')"

$EMAIL -q -f $FEMAIL -t $MAILT -u "您服务器有人登录SSH" -m "$MAILmessage" -s $MAILSMTP -o message-charset=utf-8 -xu $FEMAIL -xp $MAILP
未经允许不得转载:ITB运维部落—http://www.itbcn.cn—ITB运维技术交流之家平台 » Linux之使用shell脚本实现ssh登录报警

如果文章对你有帮助,欢迎点击上方按钮打赏作者

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

中国IT部落服务于运维技术人员交流分享平台

关于我们联系我们