在意识到有数万次尝试通过 SSH 登录我们的一台服务器后,我刚刚安装了 fail2ban。
安装 fail2ban 之后,日志膨胀停止了,但我仍然想检查日志文件以查看是否有任何尝试成功 - 并注意到一些奇怪的事情:如果我尝试滚动浏览文件或使用 cat,我的整个控制台就会坏掉,显示出一长串无法识别的字符 - 如下所示:
K��|�
��yj�]���t]��f\|�JkW.b�+t��v�u�l�v-���%��]K���ׂ+�Ye��G���2W�kׂ�[s6ǵ1{Ë�Ïf~ׂ+�9���E,pŮ�&�����5�p"D��P}�\�_�vb+���*NW�PZ�5�p�D�yM�}��Z��I9�kcN5p�"��jc ����q���?���5�5\a'f :�r\�+Qŵ2)S\���2ufS��up];|���`QJ����ؕj�g��TK
�7q�sw��v�x�%���jq
���Y�5X� \�+�T+ �2�5efo�4���q����n\+�rZTR�="�Ǖ����VŃ1�q�Uq�g�I�D����qm̩�T�WxRQ
Kz5L���JQ���j������
(我甚至不得不在这里删除一些符号,因为 serverfault 不允许我提交它)
因为我曾经cat打印它们(我想用它们cat ... | grep Accepted来查找每个接受的尝试)现在我的控制台也坏了:
Å0;rootÄlvpsxx-xx-xxx-xxx: ürootÄlvpsxx-xx-xxx-xxx:ü#
(我添加了‘xx’)
我是否在使用时意外执行了某种恶意代码cat /var/log/auth.log?这可能吗?我该如何分析这种文件,甚至在滚动浏览时 nano 完全损坏(屏幕上的所有字符在到达某个位置时突然损坏 - 包括 UI)?
答案1
该文件(似乎是二进制文件,而不是文本文件。也许它是一个您错误地 cat 过的压缩文件?)可能有一些控制字符,改变了您终端的字符集。注销并重新登录应该可以解决字符问题。至于文件,请确保您没有错误地 cat 过二进制文件。如果它以 .bz 或 .gz 结尾,则它是 bzip 压缩的(或 gzip 压缩的)。