서버가 악의적으로 로그인되었는지 확인

1283 단어

Ubuntu


1. 최근에 성공한 비밀번호 로그인 보기:
grep "password" /var/log/auth.log | grep -v Failed | grep -v Invalid

2. 최근 로그인에 실패한 IP 및 각 IP 실패 횟수를 확인합니다.
awk '{if($6=="Failed"&&$7=="password"){if($9=="invalid"){ips[$13]++;users[$11]++}else{users[$9]++;ips[$11]++}}}END{for(ip in ips){print ip, ips[ip]}}' /var/log/auth.log | sort -k2 -rn

3. 최근 로그인에 실패한 사용자 이름과 실패 횟수를 확인합니다.
awk '{if($6=="Failed"&&$7=="password"){if($9=="invalid"){ips[$13]++;users[$11]++}else{users[$9]++;ips[$11]++}}}END{for(user in users){print user, users[user]}}' /var/log/auth.log | sort -k2 -rn

CentOS


1. 로그인 성공 보기
grep "Accepted password for" /var/log/secure

2. 사용자 이름당 실패 횟수 보기
grep "Failed password" /var/log/secure | awk '{if (NF==16){c[$11]++}else{c[$9]++}}END{for(u in c)print u,c[u]}' | sort -k 2 -nr | head

3. 각 IP 주소 보기 실패 횟수
grep "Failed password" /var/log/secure | awk '{if (NF==16){c[$13]++}else{c[$11]++}}END{for(u in c)print u,c[u]}' | sort -k 1 -n | head

좋은 웹페이지 즐겨찾기