查找服务器/var/log/secure中ssh输错密码的大于10次的IP地址(精细到月)

已于 2022-10-31 15:34:03 修改
阅读量572 收藏 1
点赞数
文章标签: 运维 bash 服务器 linux
于 2022-07-15 14:10:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28443927/article/details/125803430
版权 
[root@localhost ~]# cat /var/log/secure | grep -i "failed" | grep "^Jun" | awk '{print$(NF-3)}' | sort | uniq -c | sort -n
      3 123.144.25.184
      5 157.230.90.57
      5 68.183.214.223
     62 165.22.124.40
   1071 164.92.240.145
   7096 68.183.66.210

#查看/var/log/secure 过滤其中带有错误密码的所有行 
# grep -i 参数 意为不区分大小写
# grep "^Jun"  参数 意为过滤出以Jun开头的所以行(可以根据月份来进行调整;也可以去除查看整年)
# awk '{print$(NF-3)}' NF是指最后一列 "NF-3"为倒数第四列 用于提取IP地址
# uniq -c: "uniq" 去掉重复的数据  "uniq -c" 去掉重复的数据并统计重复出现的次数
# sort 排序 sort -n 正序  sort -nr 倒序

#也使用grep扩展匹配来获取IP地址
#grep -Eo "([0-9]{1,3}\.){3}[0-9]{1,3}"
#grep -Eo "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"
#-o 只输出匹配的内容

[root@localhost ~]# cat /var/log/secure | grep -i "failed" | grep -Eo "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort  | uniq -c | sort -nr
   7906 68.183.66.210
   5371 2.56.59.58
   4626 142.93.110.120
   1074 164.92.240.145
   1023 159.223.27.112
    785 157.230.27.203
    755 142.93.103.151
     76 165.22.124.40
      6 123.145.16.233
      5 68.183.32.11
      5 157.230.90.57
      5 143.244.175.81
      2 123.145.1.126
      2 123.144.25.184
[root@localhost ~]# cat /var/log/secure | grep -i "failed" | grep "^Jun" | awk '{print$(NF-3)}' | sort | uniq -c | sort -n | awk '$1>10{print $2}'
165.22.124.40
164.92.240.145
68.183.66.210

# awk '$1>10{print $2}'  提取出错误大于10次的IP地址

# $1>10 如果第一列的数字大于10
# print $2 就打印出第二列的IP

爱你时有风.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第十一周-ssh登录失败超过10,自动将此远程IP放入Tcp Wrapper的黑名单予以禁止防问
sunno326的博客
04-27 894
1、编写脚本/root/bin/checkip.sh,每5分钟检查一,如果发现通过ssh登录失败超过10,自动将此远程IP放入Tcp Wrapper的黑名单予以禁止防问 1>创建脚本 [root@centos7 ~]# vim bin/checkip.sh #!/bin/bash #过滤/var/log/secure日志,因为有密码输入错误和用户名输入错误,awk取IP值要利用N...
shell------写一个脚本实现调用脚本就可知道谁ssh远程连接自己的数最多
songyuchaoshi的博客
11-03 137
[root@server1 bin]# last -i |grep -v '0.0.0.0'|awk -F ' ' '{print$3}'|tr -d 'a-zA-Z'|grep -v '^$'|uniq -c|sort -r |head -3 6 192.168.13.6 6 192.168.13.128 6 192.168.13.128
/var/log/secure
Jonathan158的专栏
05-22 6654
按照我个人的理解,/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大,说明有人在破解你的root密码(一般是SSH暴力破解),可以通过这个日志查到对方的IP,每登陆,无论密码对错都会被详细记录下来,所以文件会很大,解决办法是在/etc/hosts.deny 文件加入IP服务器就会拒绝这个IPSSH登陆,语法: sshd:IP 如果对方频繁换IP,可以用
linux查看密码错误ip,对几输入ssh密码错误的IP进行iptables drop
weixin_42465332的博客
04-30 332
对几输入ssh密码错误的IP进行iptables drop把下面脚本放入/etc/crontab扫描ssh密码猜测超过5的记录* * * * * root /home/cnscn/sh/ssh_scan_crontab.sh >/dev/null 2>&1$ cat /home/cnscn/sh/ssh_scan_crontab.sh1. #!/bin/bash2...
centos配置ssh密码登录后仍要输入密码的解决方法
09-15
日志文件`/var/log/secure`查找错误信息,比如“Authentication refused: bad ownership or modes for file”。 解决这个问题,你需要检查并调整`.ssh`目录及其文件的权限。确保它们只对所有者有写权限: ```...
ubuntu ssh服务器安装,ssh连接错误
06-20
在Ubuntu系统SSHSecure Shell)是一种网络协议,用于安全地远程登录到另一台计算机。SSH服务器是实现这一功能的核心组件,它允许用户通过加密的连接管理远程服务器。本篇将详细介绍如何在Ubuntu上安装SSH...
ssh注册登录项目
06-28
- SSH服务会记录所有登录尝试,这些信息位于`/var/log/auth.log`或`/var/log/secure`(取决于操作系统)。定期检查这些日志可以帮助发现异常行为。 - 可以使用工具如`fail2ban`来自动阻止多失败登录的IP。 这个...
利用ssh滚动输出日志
12-12
在IT行业SSHSecure Shell)是一种网络协议,用于安全地远程登录到服务器,执行命令,传输文件等操作。在日常运维或开发过程,我们经常需要监控和分析服务器上的日志文件,这时“利用SSH滚动输出日志”就显得...
Linux Network 用于发送 指令到服务器服务器将结果发送到客户端输出.zip
02-01
例如,要连接到IP地址为`192.168.1.100`的服务器,用户名为`admin`,你可以输入: ``` ssh admin@192.168.1.100 ``` 登录后,你可以输入服务器上的命令,如`ls`来查看目录内容,或`sudo apt-get update`来更新...
安全日志:/var/log/secure 详解
weixin_49129782的博客
07-06 8916
安全日志:/var/log/secure /var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码,或 爆力破解: [root@localhost ~]# tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 13
Linux查看日志密码,日志管理-secure|lastlog|wtmp|messages|boot
weixin_29457191的博客
04-30 1542
linux日志介绍/var/log/secure记录用户登录、用户属性发生改变等一些日志示例:某用户的密码被更改,查看改动时间]# grep ".*password changed" /var/log/secureMay 16 14:37:30 wanwz passwd: pam_unix(passwd:chauthtok): password changed for wanwz/var/log/...
linux统计每天登录成功ip脚本
weixin_44711892的博客
11-24 365
1.统计登录成功的ip和时间的shell脚本 脚本路径和名为/home/crontab_daily.sh #!/bin/bash #要拼接在日志的时间 dat=`date +%Y-%m-%d` formate=".log" #log是要将登录时间和ip以及登录成功数写入的日志文件 log=dat$formate cd /home/daily_log touch log #下面是将时间,登录成...
取出/var/log/secure一小时内登录失败超过IP
最新发布
eagle89的专栏
04-12 820
取出/var/log/secure一小时内登录失败超过IP
网络安全应急响应(Windows和Linux篇)
m0_57696734的博客
07-15 1198
linux和windows应急响应
6步教你封杀恶意登录服务器ip
心有鸿鹄天地,不敢妄坠人间
06-06 8710
文章目录如何快速将恶意IP 加入防火墙黑名单前言需求描述实验步骤总结 如何快速将恶意IP 加入防火墙黑名单 前言 经常我们的服务器在深夜,往往会遭到Nmap 扫描,然后有很多ip 试探登录连接我们的服务器,那么我们该如何面对这种情况呢? 需求描述 分析Linux系统/var/log/secure安全日志文件,将黑客或者恶意登陆大于20IP地址加入Iptables防火墙黑名单; 实验步骤 首先查看安全日志文件 [root@localhost ~]# cat /var/log/secure|
linux 日志 取证,Linux系统取证
weixin_29706351的博客
05-01 586
Linux系统取证1、查看系统信息name -a #查看内核/操作系统/CPU1.pnghead -n 1 /etc/issue #查看操作系统版本2.pngcat /proc/cpuinfo #查看cpu信息3.pngenv #查看系统环境变量4.png2、用户及组信息w #查看活动用户5.pngcut -d: -f1 /etc/passwd #查看系统所有用户6.pngcut -d: ...
linux服务器安全
xiaopang758的专栏
03-25 464
一、系统安全记录文件 操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行“#more /var/log/secure grep refused”来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。 二、启动和登录安全性 1.BIOS安
渗透测试基础 - - - linux入侵排查
weixin_67503304的博客
10-24 2336
本文主要讲述了linxu如果遭遇网络攻击的排查步骤及其详细的使用方法。
ssh日志路径,如何使用指令展现日志IP
05-25
SSH日志通常位于/var/log/auth.log或者/var/log/secure文件。你可以使用以下命令查看SSH日志所有的IP地址: ``` grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" /var/log/auth.log ``` 该命令将会输出SSH日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值