如何检索可能的 ssh 攻击者的 IP 地址？

Question 1

你可以使用这样的东西：

grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" \
| sort | uniq -c

它会查找字符串Failed password for并提取 ( -o) IP 地址。它被排序，并uniq计算出现的次数。

输出将如下所示（以您的示例作为输入文件）：

  1 111.111.111.1
  3 111.11.111.111
  6 111.111.11.111

输出中的最后一个已尝试 6 次。

Answer

你可以使用这样的东西：

grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" \
| sort | uniq -c

它会查找字符串Failed password for并提取 ( -o) IP 地址。它被排序，并uniq计算出现的次数。

输出将如下所示（以您的示例作为输入文件）：

  1 111.111.111.1
  3 111.11.111.111
  6 111.111.11.111

输出中的最后一个已尝试 6 次。

Question 2

这可能是一个臃肿的解决方案，但我建议你考虑安装类似的东西失败2Ban

它是为这种日志记录而设计的+增加了能够在防火墙中添加（临时）规则以阻止重复犯罪者的好处。不过，请务必将您自己的 IP 列入白名单，我有几次设法暂时将自己锁定在外面

Answer

这可能是一个臃肿的解决方案，但我建议你考虑安装类似的东西失败2Ban

它是为这种日志记录而设计的+增加了能够在防火墙中添加（临时）规则以阻止重复犯罪者的好处。不过，请务必将您自己的 IP 列入白名单，我有几次设法暂时将自己锁定在外面

Question 3

这对我来说效果非常好。（IP已更改以保护犯罪者）

$ awk '/Failed/ {x[$(NF-3)]++} END {for (i in x){printf "%3d %s\n", x[i], i}}' /var/log/auth.log | sort -nr
 65 10.0.0.1
 14 10.0.0.2
  4 10.0.0.3
  1 10.0.0.4

Answer

这对我来说效果非常好。（IP已更改以保护犯罪者）

$ awk '/Failed/ {x[$(NF-3)]++} END {for (i in x){printf "%3d %s\n", x[i], i}}' /var/log/auth.log | sort -nr
 65 10.0.0.1
 14 10.0.0.2
  4 10.0.0.3
  1 10.0.0.4

Question 4

grep "Failed password for" /var/log/auth.log |
    awk -F"from" {'print $2'} |
    awk {'print $1'} |
    sort -u

Answer

grep "Failed password for" /var/log/auth.log |
    awk -F"from" {'print $2'} |
    awk {'print $1'} |
    sort -u

如何检索可能的 ssh 攻击者的 IP 地址？

答案1

答案2

答案3

答案4

相关内容