2022年6月16日 查看服务器异常IP访问以及处理
背景
小编在登录云服务器时,登录信息显示了如下的一段文字。
There were 8000 failed login attempts since the last successful login.
然后意识到了,这是有人试图攻击我的服务器,进而想进行挖矿
或者其他非法行为。
查看
既然有那么多的异常访问,那么肯定是有IP访问记录的。这些都在登录日志里面。
如果想查看的话,日志文件的完整路径是/var/log/secure
可以使用以下命令来查看
tail /var/log/secure
但是文件打开之后,一些关键的信息我们很难筛选出来,那么我们可以使用以下命令来筛选我们需要的信息异常的IP访问
grep筛选
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
执行命令后,就会显示异常ip以及试图登录次数
参考链接:查看异常ip访问
查看登录失败的用户信息
lastb
此命令可以显示所有的登录信息
禁止IP访问
使用iptables禁止
iptables -I INPUT -s {source_ip} -j DROP
注:{source_ip}
这里要填写上异常ip