ssh远程登陆日志分析

最新推荐文章于 2024-07-27 15:37:47 发布
最新推荐文章于 2024-07-27 15:37:47 发布
阅读量1.2w 收藏 7
点赞数 3
分类专栏: web安全 文章标签: 网络安全 linux 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/supertor/article/details/84334710
版权

环境:CentOS (其他发行版略有不同)
本文适合具备linux基础的同学

确认自己的登录信息以及目前登陆服务器的用户

列出所有登陆账户
w     

列出当前账户         
who am i
1、查看成功登陆日志

指令:

cd /var/log
less secure | grep 'Accepted'

正常登陆状态日志:

	
月份 日期 时分秒 服务器主机名 程序(sshd或则su) 模块 详细信息
Nov 19 09:36:56 iz2**9w***8l***vz sshd[2***]: Accepted password for root from 1*.*.*.*
 port *** ssh2
Nov 19 09:36:56 iz2**9w***8l***vz sshd[2***]: pam_unix(sshd:session): session opened for user
 root by (uid=*)

正常退出登录日志:


Aug  8 02:01:38 i****y sshd[18252]: pam_unix(sshd:session): session closed for user root
2、连接到服务器,提示输入密码时取消了

日志:

Aug  8 02:31:03 imzcy sshd[19046]: Received disconnect from 192.*.*.*: 13: The user canceled authentication.
<
最低0.47元/天 解锁文章
supertor
关注
专栏目录
SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 868
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
【OpenSSH升级】无论密码输入正确与否总是登录失败(error: Could not get shadow information for root)
刘元林的博客
03-20 8313
所以selinux拒绝这样做。目标策略只允许unix_chkpwd (chkpwd_t)和unix_update (updpwd_t)程序读取/etc/shadow。这个模块首先尝试直接读取/etc/shadow。如果权限被拒绝,则执行/sbin/unix_chkpwd。参考链接:https://access.redhat.com/solutions/46137。启动UsePAM yes,由pam_unix去读取shadow文件。接受用户名和密码,并向pam_unix指示密码是否与用户名匹配。
记录一次Linux服务器被人使用SSH字典爆破
最新发布
互联网架构小马的博客
07-27 829
2024年1.20凌晨睡了一觉,早上起来用termux远程ssh登录小主机发现密码没法登录了,一直显示密码错误,到了晚上用电脑ssh连接小主机,发现小主机真的没法登录了,直接把小主机接上屏幕查看,发现密码被人修改了,系统都进不去,而且主机风扇一直呼呼转,估计是cpu使用率上来了,这下只能进到linux的安全模式进行密码修改了。挖矿程序一般都设置了定时任务启动脚本程序,查看定时任务,crontab -l查看是找不到的��得看/etc/crontab文件,执行 cat /etc/crontab。
Linux入*侵分析(二)分析SSH登录日志
weixin_34056162的博客
05-09 1513
SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况 (1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。 (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-2...
解析SSH登录日志的奥秘:深入了解日志的形成过程
Lion_Long的博客
12-22 2714
SSH登录日志是维护系统安全、进行故障排除、进行安全审计和监控的重要依据。通过对日志的分析和解读,管理员可以及时发现潜在的安全威胁,防范潜在的入侵,同时也能优化系统性能,保障系统的正常运行。
分析SSH登录日志
编码行者的博客
03-06 1127
SSH(Secure Shell)是远程连接服务器的常用工具,通过查看系统的认证日志,我们可以了解到系统上的SSH登录活动。总结起来,这个命令帮助系统管理员追踪SSH登录活动,尤其是关注失败的认证尝试。通过分析登录频率,管理员可以及时发现异常登录行为,加强系统的安全性。通过运行这个命令,我们可以得到一个按照SSH登录次数排序的IP地址列表。:按照出现次数进行逆序排序,以便最高频次的IP地址在前面显示。:统计每个唯一的IP地址出现的次数,并在前面显示出现次数。:对提取出的IP地址进行排序。
Centos7入侵分析:分析SSH登录日志
热门推荐
u011442726的博客
09-06 1万+
检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/ma...
python 批量ssh远程登录_Python - 使用SSH远程登录
weixin_29231027的博客
02-09 1182
一、SSH简介SSH(Secure Shell)属于在传输层上运行的用户层协议,相对于Telnet来说具有更高的安全性。SSH是专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP...
记录一次ssh日志分析和apache日志分析
05-25
### SSH与Apache日志分析详解 #### 一、概述 在运维工作中,日志分析是一项重要的任务,通过分析系统产生的各种日志文件可以帮助我们更好地理解系统的运行状况,及时发现潜在的安全威胁并采取措施应对。本文将详细...
ssh远程执行命令方法和Shell脚本实例
09-15
### SSH远程执行命令方法与Shell脚本实例 SSH(Secure Shell)是一种网络协议,用于计算机之间的加密登录。本文将深入探讨如何使用SSH进行远程命令执行,并通过具体的Shell脚本示例来帮助读者更好地理解和掌握这一...
SSH和远程登录客户端工具PuTTY.rar
09-19
**SSH和远程登录客户端工具PuTTY** SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。它通过加密所有传输数据,包括密码,确保了用户与远程服务器之间的通信安全。PuTTY是...
记一次应急响应之ssh日志和apache2日志分析
千寻的博客
05-25 1958
查看系统情况 0x01 查看端口 netstat -anptl netstat -anptl Proto 协议类型 RecV-Q:表示收到的数据已经在本地接收缓冲,但是还有多少没有被进程取走,如果接收队列RecV-Q一直处于阻塞状态,可能是遭受了拒绝服务denial-of-service攻击。 Send-Q:对方没有收到的数据或者说没有Ack的,还是本地缓冲区。如果发送队列Send-Q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快。 Local Address: 本机地址,一般有
SSH服务器日志分析:深入理解SSH认证过程
十年运维开发经验的王义杰在此分享自己的知识和经验
09-20 515
密钥交换:使用Diffie-Hellman算法,加强了连接的安全性。认证方法:首先尝试了无密码登录,随后成功使用了公钥认证。PAM与SELinux:这两个安全机制都被启用,增加了系统的安全性。
SSH登录日志分析脚本(Python)
人生如旅
04-22 3746
好久没有更新博客了,写了很早的一个脚本存下档,一个用于分析用户登录日志 /etc/auth.log的脚本,可以分析 成功、失败次数,以及来自的IP地址和登录失败的用户名,可以用于监控是否有暴力攻击,多了就可以用于收集字典,用来避免密码过于简单的问题 #/usr/bin/env python3.4 #Anyalize the /etc/auth.log files to get #
2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招
m0_60144796的博客
05-09 293
【代码】2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招。
ssh日志审计_[日志审计]Graylog2实现用户高危命令的分析和审计
weixin_28862113的博客
01-17 475
这次用户高危命令审计分析也是基于系统的syslog。所以建议没有看过上编文章的可以先温习一下。1、首先我们要做的就是能够自动记录用户操作的命令并实时发送到syslog。运行以下命令:echo 'export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S "PROMPT_COMMAND=$(history 1)typeset -r PROMPT_COMMANDfunction ...
SSH登录日志
weixin_42562106的博客
06-23 6614
lastlog 列出所有用户最近登录的信息 last 列出当前和曾经登入系统的用户信息 lastb 列出失败尝试的登录信息 查看登录失败的ip grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more 查看所有登录IP grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]
查看linux ssh登陆日志记录
u010674101的专栏
07-07 9149
要查看Linux用户是使用密钥登录还是密码登录,可以通过检查系统日志文件来获取相关信息。在CentOS 7系统中,系统日志通常存储在/var/log目录下,主要包括secure日志文件。通过查看secure日志文件,您可以了解到用户是否使用密钥登录或密码登录。请注意,如果日志文件被定期清理或轮转,部分日志可能会被删除或移动到其他位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值