Linux 登陆失败查询

已于 2024-01-29 03:05:46 修改
阅读量960 收藏 11
点赞数 7
分类专栏: 服务端 linux 文章标签: linux 运维 服务器 lastb
于 2023-12-24 23:59:05 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/dxk539687357/article/details/135189020
版权
本文详细描述了如何在LinuxVPS上观察并处理SSH登陆失败的情况,包括通过SSH和Cockpit监控登陆尝试,以及使用`lastb`命令查询失败登录信息,并介绍了清除登录日志记录的方法以提升服务器安全性。
摘要由CSDN通过智能技术生成

Linux 登陆失败查询

最近笔者购买的 VPS 中发现一堆登陆失败信息, 因此写下本文记录登陆失败查询的步骤。如果不是自己登陆失败, 那么一定是黑客使用暴力算法不断的尝试账号和密码, 如果不采取措施, 那么密码账号和密码就有概率被跑出来, 服务器也将被盗。

博主博客

一、观察

1.1 SSH 登陆观察

比如我登陆服务器, 会发现有 Last failed login 的提示, 并且这个 IP 不是我的 IP, 我那个时间点也没有进行登陆, 所以这个不是我进行的操作。

Last failed login: Sun Dec 24 23:32:02 CST 2023 from 182.61.50.35 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Sun Dec 24 16:05:40 2023 from x.x.x.x

1.2 Cockpit 控制台观察

如果使用 Cockpit 这个 Web Console 系统可以登陆到控制台, 在 概览 页面可以看到有多少次登陆失败。

二、查询

Linux lastb 命令用于列出登入系统失败的用户相关信息。这个命令会读取 /var/log/btmp 文件。

[root@nukixPC ~]# lastb -a | more
trade    ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     42.192.123.63
trade    ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     42.192.123.63
info     ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     124.223.53.149
info     ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     124.223.53.149
ubuntu   ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     124.221.132.245
ubuntu   ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     124.221.132.245
dpn      ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     181.55.188.218
dpn      ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     181.55.188.218
softcont ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     68.71.45.157
softcont ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     68.71.45.157
root     ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     43.156.7.9
testuser ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     201.124.28.60
testuser ssh:notty    Sun Dec 24 02:19 - 02:19  (00:00)     201.124.28.60

-F 输出完整信息。

[root@nukixPC ~]# lastb -F | more
trade    ssh:notty    42.192.123.63    Sun Dec 24 02:19:59 2023 - Sun Dec 24 02:19:59 2023  (00:00)
trade    ssh:notty    42.192.123.63    Sun Dec 24 02:19:57 2023 - Sun Dec 24 02:19:57 2023  (00:00)
info     ssh:notty    124.223.53.149   Sun Dec 24 02:19:44 2023 - Sun Dec 24 02:19:44 2023  (00:00)
info     ssh:notty    124.223.53.149   Sun Dec 24 02:19:42 2023 - Sun Dec 24 02:19:42 2023  (00:00)
ubuntu   ssh:notty    124.221.132.245  Sun Dec 24 02:19:33 2023 - Sun Dec 24 02:19:33 2023  (00:00)
ubuntu   ssh:notty    124.221.132.245  Sun Dec 24 02:19:31 2023 - Sun Dec 24 02:19:31 2023  (00:00)
dpn      ssh:notty    181.55.188.218   Sun Dec 24 02:19:26 2023 - Sun Dec 24 02:19:26 2023  (00:00)
dpn      ssh:notty    181.55.188.218   Sun Dec 24 02:19:24 2023 - Sun Dec 24 02:19:24 2023  (00:00)
softcont ssh:notty    68.71.45.157     Sun Dec 24 02:19:11 2023 - Sun Dec 24 02:19:11 2023  (00:00)
softcont ssh:notty    68.71.45.157     Sun Dec 24 02:19:09 2023 - Sun Dec 24 02:19:09 2023  (00:00)
root     ssh:notty    43.156.7.9       Sun Dec 24 02:19:05 2023 - Sun Dec 24 02:19:05 2023  (00:00)
testuser ssh:notty    201.124.28.60    Sun Dec 24 02:19:03 2023 - Sun Dec 24 02:19:03 2023  (00:00)
testuser ssh:notty    201.124.28.60    Sun Dec 24 02:19:01 2023 - Sun Dec 24 02:19:01 2023  (00:00)

-n 指定输出行数。

[root@nukixPC ~]# lastb -n 5
trade    ssh:notty    42.192.123.63    Sun Dec 24 02:19 - 02:19  (00:00)
trade    ssh:notty    42.192.123.63    Sun Dec 24 02:19 - 02:19  (00:00)
info     ssh:notty    124.223.53.149   Sun Dec 24 02:19 - 02:19  (00:00)
info     ssh:notty    124.223.53.149   Sun Dec 24 02:19 - 02:19  (00:00)
ubuntu   ssh:notty    124.221.132.245  Sun Dec 24 02:19 - 02:19  (00:00)

三、清除记录

SSH 登录日志以二进制方式存储在以下文件内,需要使用对应命令查看,不然会显示乱码。

日志文件查看命令日志内容
/var/log/wtmplast登录成功日志,包含用户名、IP 地址和时间记录
/var/log/btmplastb登录失败日志,包含信息同上
/var/log/lastloglastlog各用户的最近登录日志
/var/log/secure用 cat 查看各类需要输入口令的登录日志

分别使用命令, 清除对应文件内容即可。

[root@nukixPC ~]# cat /dev/null > /var/log/wtmp
[root@nukixPC ~]# cat /dev/null > /var/log/btmp
[root@nukixPC ~]# cat /dev/null > /var/log/lastlog
[root@nukixPC ~]# cat /dev/null > /var/log/secure
nukix
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
监测 Linux失败登录尝试方法分享
qq_40907977的博客
12-14 2270
Linux服务器上重复的失败登录尝试可能表明有人企图闯入帐户,或者仅仅意味着有人忘了密码或输错密码。本文介绍了如何检查失败登录尝试并检查系统的设置,查看何时锁住帐户以处理问题。 您要了解的第一件事是如何检查登录是否失败。以下命令在Ubuntu和相关系统上使用的/var/log/auth.log文件中查找登录失败的迹象。有人尝试使用错误或拼错的密码登录时,失败登录将显示以下行: $ sudo grep "Failed password" /var/log/auth.log | head -3 Nov
Linux中达梦数据库登录失败,达梦数据库-工作中遇到的小问题
weixin_29294395的博客
05-04 2058
一.使用服务名连接数据库1数据库集群配置文件放置路径//dm_svc.conf 配置文件linux放到/etc目录下,window系统放到C:\Windows\System32,windows系统放配置文件一定要删除再放入配置文件,不能直接覆盖。2数据库集群配置文件说明//dm_svc.conf放置配置文件后,应用程序、中间件、客户端需要重启才能加载到配置信息,集群名称可以自定义//dm_svc....
Linux SSH 登录失败多少次禁止该IP访问 防止暴力破解
@不白的博客
01-10 4722
Linux 系统SSH 登录失败的内容会记录到/var/log/secure文件,通过查找关键字 Failed,可以定位到这些异常的IP地址,比如: [root@www.cndba.cn ~]# cat /var/log/secure|grep 36.250.229.118 Jan 10 16:54:25 iZbp15upsrdbnwnq3zksepZ sshd[10813]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=
Linux命令更新-用户登录信息及失败记录查询
最新发布
qq_38743726的博客
08-12 618
通过以上命令,我们可以详细了解Linux系统的登录情况,包括成功登录失败登录登录时间、IP地址等信息。这些信息对于系统安全、故障排查和审计都具有重要意义。
linux查看服务器登录成功和登录失败的命令
weixin_46627652的博客
03-14 1040
【代码】linux查看服务器登录成功和登录失败的命令。
【Shell 命令集合 系统管理 】Linux 查看系统上的失败登录记录 lastb命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-28 3352
lastb命令是Linux系统中的一个命令,用于查看系统上的失败登录记录。它用于显示最近的失败登录尝试,包括登录尝试的用户、来源IP地址、登录时间和失败原因等信息。
linux查看用户登录失败记录,服务器安全之用户登录失败次数限制以及用户登录日志查看...
weixin_42468413的博客
05-01 2983
通过限制用户登录次数,在一定程度上可以减少登录口令被爆破的风险。使用 PAM 模块限定用户登陆失败的次数Linux 有一个 pam_tally2.so 的 PAM 模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。1vim /etc/pam.d/login在最上方(即 \#%PAM-1.0 的下一行)添加规则1auth required pam_tally2.so ...
linux尝试登录失败后锁定用户账户的两种方法
09-15
主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
linux系统重装导致免密码key登录失败的解决方法
01-10
在一台linux机器上ssh远程另外一台linux服务器时候出现: [root@server .ssh]# ssh 192.0.50.80 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED...
linux失败登录信息失败怎么办,Linux查看最近登录成功/失败的用户信息
weixin_33315608的博客
05-10 1338
常用的几个Linux查看最近登录成功/失败的用户信息推荐使用命令last 、 w -i 可以查看到比较详细的登陆信息 登陆时间,闲置时间 登陆终端 闲置时间等[root@server06 ~]# lastchen pts/1 ip-10-0-7-27.ap- Tue May 19 16:45 still logged incase pts/2 ip-10-0...
linux命令查看登录失败登录日志信息--last,lastb
aaa_bbb_ccc_123_456的博客
11-26 6189
last 登录成功的用户的历史信息在文件 /var/log/wtmp中,通过命令last可以直接查看 lastb 登录失败的用户的历史信息在文件/var/log/btmp中,通过命令lastb可以查看(下图就是尝试登陆服务器的一部分记录) ...
Linux lastb命令教程:查看失败登录尝试(附案例详解和注意事项)
u012964600的博客
02-29 1277
lastb命令是Linux系统中的一个命令,它用于显示系统中所有的失败登录尝试。
linux 查询登录失败命令,lastb命令 – 列出登入系统失败的用户
weixin_35132022的博客
04-29 2442
lastb命令用于显示用户错误的登录列表,此指令可以发现系统的登录异常。单独执行lastb命令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。语法格式:lastb [参数]常用参数:-a把从何处登入系统的主机名称或ip地址显示在最后一行-d将IP地址转换成主机名称-f指定记录文件-n设置列出名单的显示列数-R不显示登入系统的主机名称...
Linux中统计用户登录失败的次数
court511024的博客
03-01 1986
Linux中统计用户登录失败的次数[@more@]#vi /etc/pam.d/system-auth --添加auth required pam_tally.so no_magic_root...
Linux【安全 01】云服务器主机安全加固(修改SSHD端口、禁用登陆失败的IP地址、使用密钥登录
Java与大数据相关实践内容分享!
11-24 1631
Linux服务器主机安全加固(修改SSHD端口、禁用登陆失败的IP地址、使用密钥登录
查看linux日志以及处理不能登录mysql的错误
wenxi2367的博客
05-20 2143
如果在默认位置找不到错误日志文件,您可以尝试查找其他可能的位置,如 `/var/log/mysql/error.log`。如果您找不到特定的日志文件,请查看 `/etc/my.cnf` 或 `/etc/mysql/my.cnf` 等MariaDB配置文件,以获取有关日志文件位置的更多信息。2. 使用`tail`命令查看最新的日志行:如果您只关心最近的日志记录,可以使用`tail`命令来查看最后几行。3. 根据时间戳进行过滤:如果您知道启动失败或访问被拒绝发生的时间范围,您可以根据日志中的时间戳进行过滤。
Linux查看lastb(统计)登录失败次数
余俊晖,NLP炼丹师,目前专注自然语言处理领域研究。曾获得国内外自然语言处理算法竞赛TOP奖项近二十项。
03-07 1977
ssh密码登录时,服务器容易被字典爆破,统计登录失败次数命令 lastb | awk '{ print $3}' | sort | uniq -c | sort -n 显示如:
linux查询用户登录失败信息
07-28
Linux系统中,可以使用lastb命令来查询用户登录失败的信息。lastb命令会读取btmp(/var/log/btmp)文件,该文件记录了所有登录系统失败的用户的信息。通过运行lastb命令,您可以查看登录失败的用户的用户名、登录尝试的时间和IP地址等信息。请注意,运行lastb命令需要root权限。 #### 引用[.reference_title] - *1* *2* *3* [linux 当前登录用户及历史登录用户信息查询](https://blog.csdn.net/zyqash/article/details/125605896)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nukix

如果觉得对你有帮助,欢迎打赏!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值