|
远程服务器一般需要启用 ssh 远程登录功能。对于 ssh 协议的常见攻击是进行暴力破解。通过查看 log 日志检测服务器是否被暴力破解。
日志位置
不同的linux发行版,关于 ssh 登录的日志信息存储的地方不同:
- Debian 和 Ubuntu 存储在 /var/log/auth.log
- RedHat 和 CentOS 存储在 /var/log/secure
以 CentOS 为例
查看 root 用户登录成功的IP及次数
看看是否有不熟悉的 IP 地址
grep "Accepted password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看尝试暴力破解 root 账户的IP及次数
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看尝试暴力破解用户名的IP及次数
grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more
参考:
|