linux ssh secure 查看登录日志,获取登录失败的地址
【摘要】 ECS信息规格:2vCPUs | 4GiB | kc1.large.2镜像:openEuler 20.03 64bit with ARM | 公共镜像 linux ssh secure 查看登录日志,获取登录失败信息 # cd /var/log# ls -lh | grep secure-rw-------. 1 root root 5.3M Oct 6 19...
ECS信息
- 规格:2vCPUs | 4GiB | kc1.large.2
- 镜像:openEuler 20.03 64bit with ARM | 公共镜像
linux ssh secure 查看登录日志,获取登录失败信息
# cd /var/log
# ls -lh | grep secure
-rw-------. 1 root root 5.3M Oct 6 19:58 secure
-rw------- 1 root root 4.3M Oct 2 03:12 secure-20211002
# stat secure
File: secure
Size: 5546688 Blocks: 10848 IO Block: 4096 regular file
Device: fd02h/64770d Inode: 657617 Links: 1
Access: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2021-10-06 19:59:18.103630401 +0800
Modify: 2021-10-06 19:58:38.538911690 +0800
Change: 2021-10-06 19:58:38.538911690 +0800
Birth: 2020-05-18 10:35:20.984000000 +0800
- IP部分已隐藏
# cat secure | grep "authentication failure" > /home/ssh_authentication_failure.txt
# head ssh_authentication_failure.txt -n 5
Oct 2 03:13:42 ecs-4eee sshd[18747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct 2 03:16:13 ecs-4eee sshd[18758]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct 2 03:18:48 ecs-4eee sshd[18760]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct 2 03:21:17 ecs-4eee sshd[18763]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct 2 03:23:55 ecs-4eee sshd[18766]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
# wc -l ssh_authentication_failure.txt
28697 ssh_authentication_failure.txt
- 使用python提取其中的ip地址
import re
regex = re.compile("rhost=(.+\d)")
ip_list = []
with open("ssh_authentication_failure.txt", "r") as file:
while True:
log = file.readline()
if len(log) == 0:
break
ip_list.extend(regex.findall(log))
black_ip_list = list(set(ip_list))
for ip in black_ip_list:
print(ip)
print(len(ip_list))
print(len(black_ip_list))
......部分截取 + 地址已隐藏
XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX
28697
108
- 生成地址名单后,就该考虑安全加固的事情了
学习资料
欢迎各位同学一起来交流学习心得^_^
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)