첫 번 째 셸 스 크 립 트 - 악성 로그 인 모니터링 원 격 서버
1. 먼저 스 크 립 트 를 작성 합 니 다:
변수 LT 를 정의 합 니 다. 변수의 값 은 lastb 명령 에 표 시 된 줄 수 입 니 다. (즉, 로그 인 횟수 가 잘못 되 었 습 니 다. 악의 적 으로 로그 인 하면 줄 수가 많아 집 니 다)
if 판단 문 구 를 실행 합 니 다. 정 의 된 값 이 15 회 이상 이면 악성 로그 인 으로 판단 하여 관리자 에 게 알 립 니 다.
스 크 립 트 내용 은 다음 과 같 습 니 다.
[root@localhost ~]# cat lt.sh
#! /bin/bash
# LT, ;
LT=`lastb |wc -l |cut -d ' ' -f 1`
if [ $LT -gt "15" ]
# 15 , ;
then echo "somebody try to login please check log"
#
fi
2. 계획 작업 작성
위 스 크 립 트 를 1 분 간격 으로 자동 으로 실행 합 니 다.
[root@localhost ~]# crontab -l
*/1 * * * * /bin/sh /root/lt.sh
3. 효과 보기
현재 명령 행 모드 에 15 회 이상 로그 인 하면 새 메 일이/var/spool/mail/root 에 있 음 을 알려 줍 니 다.
[root@localhost ~]#
You have new mail in /var/spool/mail/root
새 메 일 을 보면 스 크 립 트 의 내용 을 발견 하고 누군가가 호스트 에 로그 인 하려 고 시도 하고 있다 는 것 을 증명 합 니 다.
[root@localhost ~]# tail -2 /var/spool/mail/root
somebody try to login please check log
lastb 명령 을 실행 하여 로그 인 실패 기록 을 많이 보 았 습 니 다.
[root@localhost ~]# lastb |head
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:04 - 22:04 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:04 - 22:04 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:03 - 22:03 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:03 - 22:03 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:03 - 22:03 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:03 - 22:03 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 22:03 - 22:03 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 21:29 - 21:29 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 21:29 - 21:29 (00:00)
user1 ssh:notty 192.168.22.1 Tue Apr 21 21:29 - 21:29 (00:00)
/var/log/secure 로 그 를 보면 여러 번 로그 인 에 실패 한 기록 이 있 습 니 다.
Apr 21 22:03:35 localhost unix_chkpwd[1501]: password check failed for user (user1)
Apr 21 22:03:35 localhost sshd[1499]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.22.1 user=user1
Apr 21 22:03:36 localhost sshd[1499]: Failed password for user1 from 192.168.22.1 port 50591 ssh2
Apr 21 22:03:39 localhost unix_chkpwd[1502]: password check failed for user (user1)
Apr 21 22:03:41 localhost sshd[1499]: Failed password for user1 from 192.168.22.1 port 50591 ssh2
Apr 21 22:03:44 localhost unix_chkpwd[1503]: password check failed for user (user1)
Apr 21 22:03:46 localhost sshd[1499]: Failed password for user1 from 192.168.22.1 port 50591 ssh2
Apr 21 22:03:49 localhost unix_chkpwd[1504]: password check failed for user (user1)
Apr 21 22:03:51 localhost sshd[1499]: Failed password for user1 from 192.168.22.1 port 50591 ssh2
Apr 21 22:03:52 localhost sshd[1499]: Failed password for user1 from 192.168.22.1 port 50591 ssh2
Apr 21 22:03:54 localhost sshd[1500]: Received disconnect from 192.168.22.1: 0:
방문 로그 의 원본 IP 에 따라 저 희 는 원본 에 iptables 규칙 을 설정 하고 서버 의 22 포트 에 접근 하지 못 하 게 하거나 ip 주 소 를 닫 을 수 있 습 니 다.
잠시 동안 이렇게 많 을 뿐 입 니 다. 작은 자랑 으로 자신 감 을 가지 고 앞으로 의 학습 에서 Liux 를 더욱 깊이 이해 할 것 이 라 고 믿 습 니 다.
여러분 과 함께 나 누고 격려 합 시다.
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
용감한 바로 가기 및 우분투 응용 프로그램안녕하세요 여러분, 이 기사에서는 모든 사이트에서 pwa를 생성하고 실행기 응용 프로그램으로 추가하는 방법을 설명하고 싶습니다. 일부 웹사이트는 PWA로 설치를 허용하지 않지만 유사한 애플리케이션을 원합니다. 1. ...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.