近期我的某台云主机总收到提示被攻击,本人linux初学者,于是从网上搜索了一些方法,下面进行记录
1、查看服务器最近的登录情况
lastlog 列出所有用户最近登录的信息
lastlog引用的是/var/log/lastlog文件中的信息,包括login-name、port、last login time。
2、last 列出当前和曾经登入系统的用户信息
语法:last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]
例子:last -x :显示系统关闭、用户登录和退出的历史
last -i:显示特定ip登录的情况
last -t 20181010120101: 显示20181010120101之前的登录信息
3、lastb 列出失败尝试的登录信息和last命令功能完全相同,只不过它默认读取的是/var/log/btmp文件的信息。当然也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp
结合awk,sort命令,可以查询出具体的ip
(1)lastb | awk '{print($3)}'|sort -u
(2) 另也可以分析var/log/secure 日志,从中截取登录失败的ip
cat /var/log/secure |awk '/^.*(F|f)ailed.*/'|egrep "from ([0-9]+\.){3}[0-9]+" -o
4、阻止ip 177.197.204.23 登录服务器
参考如下blog
https://blog.csdn.net/sinat_28963819/article/details/68923524
该blog中提供了几种方法。我采用修改 /etc/hosts.deny 文件,禁止恶意ip 访问服务器。