远程服务器一般需要启用 ssh 远程登录功能。对于 ssh 协议的常见攻击是进行暴力破解。通过查看 log 日志检测服务器是否被暴力破解。
日志位置
不同的linux发行版,关于 ssh 登录的日志信息存储的地方不同:
- Debian 和 Ubuntu 存储在 /var/log/auth.log
- RedHat 和 CentOS 存储在 /var/log/secure
以 CentOS 为例
查看 root 用户登录成功的IP及次数
看看是否有不熟悉的 IP 地址
grep "Accepted password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看尝试暴力破解 root 账户的IP及次数
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看尝试暴力破解用户名的IP及次数
grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr | more
参考:
- 通过Auth.log来查看VPS服务器是否被扫描和暴力破解
- 服务器VPS安全防护
- 12 Critical Linux Log Files You Must be Monitoring
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)