Как сделать получить IP-адреса возможных злоумышленников ssh?

Большинство используемых мной высокоскоростной WLAN адаптеры USB основано на чипсетах Ralink. Я не уверен в, они поддерживают из поля в 3.7.1 ядрах, но некоторые специалисты по обслуживанию включает поддержку этого USB WLAN в их дистрибутивном по умолчанию. Также может быть эта ссылка быть интересным для Вас.

18
18.03.2015, 11:00
4 ответа

Вы можете использовать что-то вроде этого:

grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" \
| sort | uniq -c

IT Greps для строки , неисправный пароль для и экстрактов ( -O ) IP-адрес. Он отсортирован, а UNIQ считает количество возникновений.

Вывод тогда выглядит так (с вашим примером в качестве входного файла):

  1 111.111.111.1
  3 111.11.111.111
  6 111.111.11.111

Последний на выходе пробовал 6 раз.

20
27.01.2020, 19:46
grep "Failed password for" /var/log/auth.log |
    awk -F"from" {'print $2'} |
    awk {'print $1'} |
    sort -u
0
27.01.2020, 19:46

Это может быть раздутый раствор, но я предлагаю вам посмотреть на установку чего-то вроде Fail2Ban

Это сделано для этого вида ведения журнала + добавляет бонус в состоянии добавить ( Временные) правила в вашем брандмауэре, чтобы блокировать повторяющиеся преступники. Обязательно убейте свой собственный IP-адрес, мне удалось временно запереться в нескольких случаях

6
27.01.2020, 19:46

Это было очень хорошо для меня. (IPS были изменены для защиты виновного)

$ awk '/Failed/ {x[$(NF-3)]++} END {for (i in x){printf "%3d %s\n", x[i], i}}' /var/log/auth.log | sort -nr
 65 10.0.0.1
 14 10.0.0.2
  4 10.0.0.3
  1 10.0.0.4
0
27.01.2020, 19:46

Теги

Похожие вопросы