linux ssh secure 查看登录日志,获取登录失败的地址

举报
千江有水千江月 发表于 2021/10/06 21:19:37 2021/10/06
【摘要】 ECS信息规格:2vCPUs | 4GiB | kc1.large.2镜像:openEuler 20.03 64bit with ARM | 公共镜像  linux ssh secure 查看登录日志,获取登录失败信息 # cd /var/log# ls -lh | grep secure-rw-------. 1 root root 5.3M Oct 6 19...

ECS信息

  • 规格:2vCPUs | 4GiB | kc1.large.2
  • 镜像:openEuler 20.03 64bit with ARM | 公共镜像

linux ssh secure 查看登录日志,获取登录失败信息

# cd /var/log
# ls -lh | grep secure
-rw-------. 1 root   root            5.3M Oct  6 19:58 secure
-rw-------  1 root   root            4.3M Oct  2 03:12 secure-20211002
# stat secure
  File: secure
  Size: 5546688   	Blocks: 10848      IO Block: 4096   regular file
Device: fd02h/64770d	Inode: 657617      Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2021-10-06 19:59:18.103630401 +0800
Modify: 2021-10-06 19:58:38.538911690 +0800
Change: 2021-10-06 19:58:38.538911690 +0800
 Birth: 2020-05-18 10:35:20.984000000 +0800

  • IP部分已隐藏
# cat secure | grep "authentication failure" > /home/ssh_authentication_failure.txt
# head ssh_authentication_failure.txt -n 5
Oct  2 03:13:42 ecs-4eee sshd[18747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct  2 03:16:13 ecs-4eee sshd[18758]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct  2 03:18:48 ecs-4eee sshd[18760]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct  2 03:21:17 ecs-4eee sshd[18763]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
Oct  2 03:23:55 ecs-4eee sshd[18766]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX
# wc -l ssh_authentication_failure.txt 
28697 ssh_authentication_failure.txt

  • 使用python提取其中的ip地址
import re

regex = re.compile("rhost=(.+\d)")

ip_list = []

with open("ssh_authentication_failure.txt", "r") as file:
    while True:
        log = file.readline()
        if len(log) == 0:
            break
        ip_list.extend(regex.findall(log))


black_ip_list = list(set(ip_list))


for ip in black_ip_list:
    print(ip)

print(len(ip_list))
print(len(black_ip_list))

......部分截取 + 地址已隐藏
XXX.XXX.XXX.XXX
XXX.XXX.XXX.XXX
28697
108
  • 生成地址名单后,就该考虑安全加固的事情了

学习资料

欢迎各位同学一起来交流学习心得^_^

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。