secure中是sshd的日志,grep过滤出需要的信息(-v是反选),awk取出ip

i=$10代表以空格分隔第10个字符串,count[ip1]++就是个数组,END是文档结尾后,最后遍历数组并输出

sort是排序,-n按数字排序,-r代表降序

head -10 是前十行,>到文件

sudo cat secure | grep "Invalid" | awk '{i=$10;count[i]++}END{for(i in count)print(count[i],i)}' | sort -n -r | head -10 > /home/anonymous/Documents/ssh_invalid_user_ip.txt
sudo tac secure | grep "Jun  8" | grep "Received disconnect" | awk '{i=$9;count[i]++}END{for(i in count)print(count[i],i)}' | sort -n -r | head -10 > /home/anonymous/Documents/ssh_disconnect_ip.txt

两条命令直接得到了一直爆我密码的ip和疯狂连接ssh服务的ip

然后分析web日志,指定日期,排除200,先用"wc -l"看下行数,不多再用more查看,这时能看到一些404的url,大概是在做目录扫描,然后还有一些垃圾数据不知道做什么用的。内存CPU很小,经不起折腾,有空做点防护,不然哪天网站又打不开了

cat www.wangguixiu.top.log | grep "8/Jun" | grep -v " 200 " | more

f954ac96e197cef8bf0bcb65f07cb73.png
4041ce1de7a486d132bd8d4c05ec6aa.png