«

2022年6月16日 查看服务器异常IP访问以及处理

Mahalalel 发布于 阅读:3571 Linux


背景

小编在登录云服务器时,登录信息显示了如下的一段文字。
There were 8000 failed login attempts since the last successful login.
然后意识到了,这是有人试图攻击我的服务器,进而想进行挖矿或者其他非法行为。

查看

既然有那么多的异常访问,那么肯定是有IP访问记录的。这些都在登录日志里面。
如果想查看的话,日志文件的完整路径是/var/log/secure
可以使用以下命令来查看

tail /var/log/secure

但是文件打开之后,一些关键的信息我们很难筛选出来,那么我们可以使用以下命令来筛选我们需要的信息异常的IP访问

grep筛选

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

执行命令后,就会显示异常ip以及试图登录次数

参考链接:查看异常ip访问

查看登录失败的用户信息

lastb

此命令可以显示所有的登录信息
登录失败用户信息

禁止IP访问

使用iptables禁止

iptables -I INPUT -s {source_ip} -j DROP

注:{source_ip} 这里要填写上异常ip

Linux 异常IP