自动拉黑没有效果

[yuan6975]

设置了自动拉黑但是没有效果

[Flik6]

+1

[wangyw6716]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

[fayswing]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用
是在openwrt环境下

[wangyw6716]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

[fayswing]

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

谢谢大佬的回复 没有按您的N1的改的 是按您的教程步骤改的
改的部分是自己登陆失败的日志的固定部分的 然后重启了插件
因为是x86的openwrt的软路由 路由没重启 只重新启动的插件

[yuan6975]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

大佬我3个盒子都修改好了,在日志里面也能看到频繁登录ssh的ip, 只有一个盒子能自动拉黑怎么排查下问题?

[fayswing]

顺便给大佬附上我修改的图片 下面是路由的错误日志 红色部分改到了pushbot文件下了

下图是改好的部分

请大佬赐教

[wangyw6716]

顺便给大佬附上我修改的图片 下面是路由的错误日志 红色部分改到了pushbot文件下了

下图是改好的部分

请大佬赐教

项目大佬的源码是grep -i "Bad password attempt|Login attempt for nonexistent user from"，从你提供的日志来看，原作者的正则表达式是适配你的系统的，你不需要做额外修改。 你现在修改后的版本是有问题的，不能加‘root’ from，建议你改回去。 至于为什么拉黑无效，要考虑排查其他问题

[fayswing]

项目大佬的源码是grep -i "Bad password attempt|Login attempt for nonexistent user from"，从你提供的日志来看，原作者的正则表达式是适配你的系统的，你不需要做额外修改。 你现在修改后的版本是有问题的，不能加‘root’ from，建议你改回去。 至于为什么拉黑无效，要考虑排查其他问题

谢谢大佬的回复 那晚点我该回去 主要是技术小白 完全不知道怎么排查问题
用最笨的方法了 用的时候映射22端口 不用就关了好了
再次感谢大佬百忙之中的回复 谢谢拉

[wangyw6716]

项目大佬的源码是grep -i "Bad password attempt|Login attempt for nonexistent user from"，从你提供的日志来看，原作者的正则表达式是适配你的系统的，你不需要做额外修改。 你现在修改后的版本是有问题的，不能加‘root’ from，建议你改回去。 至于为什么拉黑无效，要考虑排查其他问题

谢谢大佬的回复 那晚点我该回去 主要是技术小白 完全不知道怎么排查问题 用最笨的方法了 用的时候映射22端口 不用就关了好了 再次感谢大佬百忙之中的回复 谢谢拉

我的截图误导了你，我把root from也框选上了。如果你要排查，可以重点看看这段代码

[wangyw6716]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

大佬我3个盒子都修改好了,在日志里面也能看到频繁登录ssh的ip, 只有一个盒子能自动拉黑怎么排查下问题?

可能性比较多，如果你要排查，可以重点看看这段代码。

[yuan6975]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

大佬我3个盒子都修改好了,在日志里面也能看到频繁登录ssh的ip, 只有一个盒子能自动拉黑怎么排查下问题?

可能性比较多，如果你要排查，可以重点看看这段代码。

我看测速了一下拉黑逻辑 是需要有ssh频繁日志的情况下才会进行拉黑，我现在的问题是ssh连接分别有两个方面的错误 密码和账号 日志里面的错误分别是 Failed password for invalid user ”错误账号“ from 这个日志是错误密码Failed password for root from 这两个在代码里面该怎么填写才能都识别进去

[yuan6975]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

大佬我3个盒子都修改好了,在日志里面也能看到频繁登录ssh的ip, 只有一个盒子能自动拉黑怎么排查下问题?

可能性比较多，如果你要排查，可以重点看看这段代码。

就是他匹配的逻辑是 日志1 | 日志2 是同时匹配才算 还是匹配一个就算

[wangyw6716]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

大佬我3个盒子都修改好了,在日志里面也能看到频繁登录ssh的ip, 只有一个盒子能自动拉黑怎么排查下问题?

可能性比较多，如果你要排查，可以重点看看这段代码。

我看测速了一下拉黑逻辑 是需要有ssh频繁日志的情况下才会进行拉黑，我现在的问题是ssh连接分别有两个方面的错误 密码和账号 日志里面的错误分别是 Failed password for invalid user ”错误账号“ from 这个日志是错误密码Failed password for root from 这两个在代码里面该怎么填写才能都识别进去

参考原作者的源码是grep -i "Bad password attempt|Login attempt for nonexistent user from"

[wangyw6716]

1. 通过logread命令或者UI界面查看系统日志, 找到SSH 错误尝试输出的日志
2. 将带有ip那条日志, 固定不变的部分复制下来粘贴到上图中双引号之中, 重启服务后生效

脚本对应的路径:

vim /usr/bin/pushbot/pushbot

例如我的N1是这样的 我就将Failed password for root from替换图一选中部分, 不同的系统可能不一样

按照大佬的教程修改了 可还是不起作用 是在openwrt环境下

不能完全按照我的改，不同系统版本日志格式不一样，可以使用logread命令看一下登录失败的日志是怎么记录的，再按照我的步骤修改

大佬我3个盒子都修改好了,在日志里面也能看到频繁登录ssh的ip, 只有一个盒子能自动拉黑怎么排查下问题?

可能性比较多，如果你要排查，可以重点看看这段代码。

我看测速了一下拉黑逻辑 是需要有ssh频繁日志的情况下才会进行拉黑，我现在的问题是ssh连接分别有两个方面的错误 密码和账号 日志里面的错误分别是 Failed password for invalid user ”错误账号“ from 这个日志是错误密码Failed password for root from 这两个在代码里面该怎么填写才能都识别进去

参考原作者的源码是grep -i "Bad password attempt|Login attempt for nonexistent user from"

只之需匹配Failed password for就行