ssh远程登陆日志分析

最新推荐文章于 2024-06-20 12:16:56 发布
最新推荐文章于 2024-06-20 12:16:56 发布
阅读量1.2w 收藏 7
点赞数 3
分类专栏: web安全 文章标签: 网络安全 linux 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/supertor/article/details/84334710
版权

环境:CentOS (其他发行版略有不同)
本文适合具备linux基础的同学

确认自己的登录信息以及目前登陆服务器的用户

列出所有登陆账户
w     

列出当前账户         
who am i
1、查看成功登陆日志

指令:

cd /var/log
less secure | grep 'Accepted'

正常登陆状态日志:

	
月份 日期 时分秒 服务器主机名 程序(sshd或则su) 模块 详细信息
Nov 19 09:36:56 iz2**9w***8l***vz sshd[2***]: Accepted password for root from 1*.*.*.*
 port *** ssh2
Nov 19 09:36:56 iz2**9w***8l***vz sshd[2***]: pam_unix(sshd:session): session opened for user
 root by (uid=*)

正常退出登录日志:


Aug  8 02:01:38 i****y sshd[18252]: pam_unix(sshd:session): session closed for user root
2、连接到服务器,提示输入密码时取消了

日志:

Aug  8 02:31:03 imzcy sshd[19046]: Received disconnect from 192.*.*.*: 13: The user canceled authentication.
3、密码输入错误

日志:

Aug  8 02:33:28 imzcy sshd[19125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.*.*.*  user=root
Aug  8 02:33:31 imzcy sshd[19125]: Failed password for root from 192.*.*.* port 57994 ssh2
4、密码错误次数太多

日志:

Nov 19 09:36:56 imzcy sshd[19125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10  user=root
Nov 19 09:36:56 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2
Nov 19 09:36:56 imzcy last message repeated 3 times
Nov 19 09:36:56 imzcy last message repeated 2 times
Nov 19 09:36:56 imzcy sshd[19126]: Disconnecting: Too many authentication failures for root
Nov 19 09:36:56 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2
Nov 19 09:36:56 imzcy sshd[19125]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10  user=root
Nov 19 09:36:56 imzcy sshd[19125]: PAM service(sshd) ignoring max retries; 7 > 3

如果出现爆破手最简单的处理方式先禁用对方ip,或者限制到某台机器可以访问
如:我们只允许192.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
更具体的操作可以使用iptables设置相应规则

supertor
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 840
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
python 批量ssh远程登录_Python - 使用SSH远程登录
weixin_29231027的博客
02-09 1174
一、SSH简介SSH(Secure Shell)属于在传输层上运行的用户层协议,相对于Telnet来说具有更高的安全性。SSH是专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。几乎所有UNIX平台—包括HP...
【OpenSSH升级】无论密码输入正确与否总是登录失败(error: Could not get shadow information for root)
刘元林的博客
03-20 7982
所以selinux拒绝这样做。目标策略只允许unix_chkpwd (chkpwd_t)和unix_update (updpwd_t)程序读取/etc/shadow。这个模块首先尝试直接读取/etc/shadow。如果权限被拒绝,则执行/sbin/unix_chkpwd。参考链接:https://access.redhat.com/solutions/46137。启动UsePAM yes,由pam_unix去读取shadow文件。接受用户名和密码,并向pam_unix指示密码是否与用户名匹配。
Linux远程管理日志
写代码的小阿帆的博客
06-20 510
该实验通过修改日志主配置文件,生产机将指定协议日志信息的处理规则,设置使用udp发送到管理机,管理机打开对应接口接收消息,实现了日志的远程访问,进而实现使用堡垒机对整个网络的日志监控与管理。
Linux入*侵分析(二)分析SSH登录日志
weixin_34056162的博客
05-09 1510
SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况 (1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。 (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-2...
解析SSH登录日志的奥秘:深入了解日志的形成过程
Lion_Long的博客
12-22 2616
SSH登录日志是维护系统安全、进行故障排除、进行安全审计和监控的重要依据。通过对日志的分析和解读,管理员可以及时发现潜在的安全威胁,防范潜在的入侵,同时也能优化系统性能,保障系统的正常运行。
Centos7入侵分析:分析SSH登录日志
热门推荐
u011442726的博客
09-06 1万+
检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/ma...
记一次应急响应之ssh日志和apache2日志分析
千寻的博客
05-25 1927
查看系统情况 0x01 查看端口 netstat -anptl netstat -anptl Proto 协议类型 RecV-Q:表示收到的数据已经在本地接收缓冲,但是还有多少没有被进程取走,如果接收队列RecV-Q一直处于阻塞状态,可能是遭受了拒绝服务denial-of-service攻击。 Send-Q:对方没有收到的数据或者说没有Ack的,还是本地缓冲区。如果发送队列Send-Q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快。 Local Address: 本机地址,一般有
记录一次ssh日志分析和apache日志分析
05-25
### SSH与Apache日志分析详解 #### 一、概述 在运维工作中,日志分析是一项重要的任务,通过分析系统产生的各种日志文件可以帮助我们更好地理解系统的运行状况,及时发现潜在的安全威胁并采取措施应对。本文将详细...
ssh远程执行命令方法和Shell脚本实例
09-15
### SSH远程执行命令方法与Shell脚本实例 SSH(Secure Shell)是一种网络协议,用于计算机之间的加密登录。本文将深入探讨如何使用SSH进行远程命令执行,并通过具体的Shell脚本示例来帮助读者更好地理解和掌握这一...
SSH和远程登录客户端工具PuTTY.rar
09-19
**SSH和远程登录客户端工具PuTTY** SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。它通过加密所有传输数据,包括密码,确保了用户与远程服务器之间的通信安全。PuTTY是...
Linuxssh登录远程服务器 expect
10-24
总结来说,"Linux ssh登录远程服务器 expect"是利用Expect脚本自动化Linux通过SSH协议登录远程服务器的过程,它可以高效、安全地执行远程运维任务,尤其适用于批量管理和监控大量服务器的场景。了解和掌握这一技术,...
SSH服务器日志分析:深入理解SSH认证过程
十年运维开发经验的王义杰在此分享自己的知识和经验
09-20 489
密钥交换:使用Diffie-Hellman算法,加强了连接的安全性。认证方法:首先尝试了无密码登录,随后成功使用了公钥认证。PAM与SELinux:这两个安全机制都被启用,增加了系统的安全性。
SSH登录日志分析脚本(Python)
人生如旅
04-22 3738
好久没有更新博客了,写了很早的一个脚本存下档,一个用于分析用户登录日志 /etc/auth.log的脚本,可以分析 成功、失败次数,以及来自的IP地址和登录失败的用户名,可以用于监控是否有暴力攻击,多了就可以用于收集字典,用来避免密码过于简单的问题 #/usr/bin/env python3.4 #Anyalize the /etc/auth.log files to get #
2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招
m0_60144796的博客
05-09 283
【代码】2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招。
分析SSH登录日志
编码行者的博客
03-06 1038
SSH(Secure Shell)是远程连接服务器的常用工具,通过查看系统的认证日志,我们可以了解到系统上的SSH登录活动。总结起来,这个命令帮助系统管理员追踪SSH登录活动,尤其是关注失败的认证尝试。通过分析登录频率,管理员可以及时发现异常登录行为,加强系统的安全性。通过运行这个命令,我们可以得到一个按照SSH登录次数排序的IP地址列表。:按照出现次数进行逆序排序,以便最高频次的IP地址在前面显示。:统计每个唯一的IP地址出现的次数,并在前面显示出现次数。:对提取出的IP地址进行排序。
ssh日志审计_[日志审计]Graylog2实现用户高危命令的分析和审计
weixin_28862113的博客
01-17 465
这次用户高危命令审计分析也是基于系统的syslog。所以建议没有看过上编文章的可以先温习一下。1、首先我们要做的就是能够自动记录用户操作的命令并实时发送到syslog。运行以下命令:echo 'export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S "PROMPT_COMMAND=$(history 1)typeset -r PROMPT_COMMANDfunction ...
SSH登录日志
weixin_42562106的博客
06-23 6594
lastlog 列出所有用户最近登录的信息 last 列出当前和曾经登入系统的用户信息 lastb 列出失败尝试的登录信息 查看登录失败的ip grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more 查看所有登录IP grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]
查看linux ssh登陆日志记录
u010674101的专栏
07-07 8972
要查看Linux用户是使用密钥登录还是密码登录,可以通过检查系统日志文件来获取相关信息。在CentOS 7系统中,系统日志通常存储在/var/log目录下,主要包括secure日志文件。通过查看secure日志文件,您可以了解到用户是否使用密钥登录或密码登录。请注意,如果日志文件被定期清理或轮转,部分日志可能会被删除或移动到其他位置。
centos ssh远程登录
最新发布
07-24
CentOS SSH 远程登录是一种通过安全壳协议 (Secure Shell, 简称 SSH) 来连接 CentOS Linux 主机并对其进行远程控制的方式。SSH 协议提供了一种加密的通信通道,使得用户可以在本地计算机上安全地访问远端服务器。 ### 使用 SSH 登录 CentOS 的步骤: #### 准备阶段: 1. **确认 CentOS 服务器状态**:首先需要确保 CentOS 服务器正常运行并且网络可达。通常,服务器应处于开机状态,并通过互联网或局域网能够从您的本地系统访问到。 2. **获取服务器信息**:您需要知道 CentOS 服务器的 IP 地址、用户名以及默认的 SSH 端口(通常是 22)。此外,如果设置了更复杂的认证机制(例如公钥授权),还需要相应的私钥文件。 #### 实际操作步骤: 1. **打开终端**:在您的本地计算机上启动终端程序,这可以是在 MacOS 上的 Terminal,Windows 上的 PowerShell 或是 Unix/Linux 的终端模拟器。 2. **输入命令行**:在终端中输入以下基本的 SSH 命令行: ```bash ssh 用户名@服务器IP地址 ``` 示例: ```bash ssh root@192.168.1.100 ``` 其中,“root”是 CentOS 服务器的管理员账号,替换为您已知的有效账号;“192.168.1.100”是 CentOS 服务器的 IP 地址。 3. **验证身份**:如果您尚未对服务器配置过公钥认证,您可能需要输入密码。之后会进入服务器命令行界面,您可以开始执行各种管理任务、查看日志、安装软件等操作。 #### 安全提示: - **定期更新系统**:为了保护您的 CentOS 服务器免受潜在的安全威胁,建议定期更新系统和所有软件包。 - **设置强密码**:确保您的 SSH 密码强度足够高,并定期更换。避免使用容易猜测或常见的密码。 - **限制访问权限**:只允许需要访问服务器的人拥有 SSH 访问权限,并尽可能使用密钥认证而非纯密码认证,以提高安全性。 ### 相关问题 - SSH 配置与管理: 1. **如何更改 CentOS 的 SSH 端口号**? 2. **如何在 CentOS 中启用公钥认证以简化 SSH 登录流程**? 3. **当遇到 SSH 登录失败时,应该检查哪些方面的问题**? 以上内容介绍了 CentOS SSH 远程登录的基本原理及操作步骤,并针对一些常见问题进行了说明。希望这对您理解和实践 CentOS SSH 远程登录有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值