查找谁在破解你linux服务器的密码?-低调大师

查找谁在破解你linux服务器的密码?

2017-11-06 903

首先知道，系统的用户登陆日志文件是/var/log/secure，所以分析统计这文件就可以

#tail -n50 secure-20161219 （可以看到大量Failed password的记录）

Dec 19 03:41:35 localhost sshd[9014]: Failed password for root from 59.63.166.84 port 26368 ssh2
Dec 19 03:41:36 localhost sshd[9014]: Failed password for root from 59.63.166.84 port 26368 ssh2
Dec 19 03:41:37 localhost sshd[9014]: Failed password for root from 59.63.166.84 port 26368 ssh2
Dec 19 03:41:37 localhost sshd[9014]: Failed password for root from 59.63.166.84 port 26368 ssh2
Dec 19 03:41:38 localhost sshd[9014]: Failed password for root from 59.63.166.84 port 26368 ssh2
Dec 19 03:41:38 localhost sshd[9014]: error: maximum authentication attempts exceeded for root from 59.63.166.84 port 26368 ssh2 [preauth]
Dec 19 03:41:38 localhost sshd[9014]: Disconnecting: Too many authentication failures [preauth]
Dec 19 03:41:39 localhost sshd[9016]: Failed password for root from 59.63.166.84 port 32555 ssh2

我们要过滤出Failed行并显示对他的ip地址做统计排序，找到攻击最大的几个

#awk '/Failed password/{print $(NF-3)}' secure-20161219|sort|uniq -c|sort -nrk1|head -20

  68652 218.65.30.25
  34326 218.65.30.53
  21201 218.87.109.154
  18065 112.85.42.103
  17164 112.85.42.99
  17163 218.87.109.151
  17163 218.87.109.150
  17163 218.65.30.61
  17163 218.65.30.126
  17163 218.65.30.124
  17163 218.65.30.123
  17163 218.65.30.122
  17163 182.100.67.120
  17163 182.100.67.119
  17163 112.85.42.124
  17163 112.85.42.107
   3289 222.186.50.206
   3265 219.133.29.16
   3206 111.73.46.156
   2479 117.21.226.189

（解释下# awk '/Failed password/{print $(NF-3)}' secure-20161219|sort|uniq -c|sort -nrk1|head -20）

awk根据Failed password匹配出了破解记录，然后取倒数第四列的ip，取到的结果先进行排序（目的是为了下一个uniq函数），uniq -c去重并计算数目（只支持比较连续的行所以前面用sort）,对去重后的数据按照第一列（-k1）进行数字（n）倒序（r），最后只取前20行

第二种方法（awk数组方式）：

#awk '/Failed password/{d[$(NF-3)]++}END{for(i in d) print i,d[i]}' secure-20161219|sort -nrk2|head -20

218.65.30.25 68652
218.65.30.53 34326
218.87.109.154 21201
112.85.42.103 18065
112.85.42.99 17164
218.87.109.151 17163
218.87.109.150 17163
218.65.30.61 17163
218.65.30.126 17163
218.65.30.124 17163
218.65.30.123 17163
218.65.30.122 17163
182.100.67.120 17163
182.100.67.119 17163
112.85.42.124 17163
112.85.42.107 17163
222.186.50.206 3289
219.133.29.16 3265
111.73.46.156 3206
117.21.226.189 2479

微信关注我们

原文链接：https://www.centoschina.cn/course/intermediate/9164.html

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

CentOS防止root密码破解，禁止root登陆，添加一个sudo超级用户

防止root密码被破解，我们可以禁止root登陆，添加一个sudo超级用户 #useradd superman #添加用户 #echo xxxxx|passwd --stdin superman #设置密码 #visudo #找到第90几行的root ALL=(ALL) ALL 下面行添加一句： superman ALL=(ALL) NOPASSWD: ALL （这个操作比较危险，superman可以直接sudo su - 切换到root做任何事，所以要注意账号安全）

2017-11-06

817

▲ vmstat--虚拟内存统计 vmstat(VirtualMeomoryStatistics,虚拟内存统计) 是Linux中监控内存的常用工具,可对操作系统的虚拟内存、进程、CPU等的整体情况进行监视。 vmstat的常规用法：vmstat interval times即每隔interval秒采样一次，共采样times次，如果省略times,则一直采集数据，直到用户手动停止为止。简单举个例子：可以使用ctrl+c停止vmstat采集数据。第一行显示了系统自启动以来的平均值，第二行开始显示现在正在发生的情况，接下来的行会显示每5秒间隔发生了什么，每一列的含义在头部，如下所示： ▪procs：r这一列显示了多少进程在等待cpu，b列显示多少进程正在不可中断的休眠（等待IO）。 ▪memory：swapd列显示了多少块被换出了磁盘（页面交换），剩下的列显示了多少块是空闲的（未被使用），多少块正在被用作缓冲区，以及多少正在被用作操作系统的缓存。 ▪swap：显示交换活动：每秒有多少块正在被换入（从磁盘）和换出（到磁盘）。 ▪io：显示了多少块从块设备读取（bi）和写出（bo）,通常反...

2017-11-06

830

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。