我运行了这个命令
cat /var/log/syslog | grep SRC= | awk '{print $1,$2, $3, $12}'
我看见千IP 数量
Apr 24 23:15:47 SRC=79.124.62.86
Apr 24 23:15:59 SRC=192.241.221.145
Apr 24 23:16:18 SRC=193.27.228.62
Apr 24 23:16:38 SRC=5.51.177.42
Apr 24 23:16:59 SRC=79.124.62.86
Apr 24 23:17:21 SRC=79.124.62.86
Apr 24 23:17:40 SRC=1.14.43.72
Apr 24 23:18:06 SRC=104.206.128.50
Apr 24 23:18:34 SRC=78.128.113.162
Apr 24 23:18:41 SRC=121.196.155.112
Apr 24 23:19:10 SRC=79.124.62.86
Apr 24 23:19:30 SRC=79.124.62.86
Apr 24 23:19:40 SRC=78.128.113.222
Apr 24 23:20:00 SRC=45.135.232.24
Apr 24 23:20:21 SRC=79.124.62.86
Apr 24 23:20:46 SRC=79.124.62.86
我在我的/var/log/auth.log
这些黑客/机器人是否试图进入我的邮箱?
答案1
出于某种原因,您隐藏了问题中几乎所有有用的信息。但是,是的,这主要是黑客/机器人在寻找漏洞。有些条目是合法的,可能与 TCP 会话有关,您的机器认为连接已关闭并被遗忘,但远程机器却认为并非如此。
这些日志条目可能来自 iptables 日志规则。如果您使用的是 UFW,请注意它只是 iptables 的前端。请注意,示例列表中的 16 个条目中有 7 个来自 79.124.62.86。请注意,特定子网是众多非常糟糕的子网之一。这来自我的 iptables 规则集,我在其中删除了整个子网:
doug@s15:~$ sudo iptables -xvnL
Chain INPUT (policy DROP 14 packets, 1478 bytes)
pkts bytes target prot opt in out source destination
...
2584 103392 DROP all -- enp1s0 * 79.124.0.0/18 0.0.0.0/0
...
遵守该规则已被点击2584次。
编辑:顺便说一下,我使用以下方法来找出前一天表现最差的球员(不包括那些我已经明确放弃的球员):
doug@s15:~$ tail -20000 /var/log/syslog.1 | sed 's/ /\n/g' | grep "SRC=" | cut -d"." -f1,2,3,4 | sort | uniq -c | sort -g | tail -4
265 SRC=51.38.110.114
392 SRC=195.230.23.151
621 SRC=98.166.24.100
855 SRC=130.211.9.161
doug@s15:~$ tail -20000 /var/log/syslog.1 | sed 's/ /\n/g' | grep "SRC=" | cut -d"." -f1,2,3 | sort | uniq -c | sort -g | tail -4
392 SRC=195.230.23
429 SRC=162.142.125
621 SRC=98.166.24
855 SRC=130.211.9
doug@s15:~$ tail -20000 /var/log/syslog.1 | sed 's/ /\n/g' | grep "SRC=" | cut -d"." -f1,2 | sort | uniq -c | sort -g | tail -4
429 SRC=162.142
486 SRC=192.241
621 SRC=98.166
855 SRC=130.211
注意:我使用是tail
因为我经常只搜索最后几百行。
对于您的下一个问题,请向我们提供更多信息。