Linux查看/var/log/wtmp文件查看可疑IP登陆
last -f /var/log/wtmp
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,
增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,
last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。
查看/var/log/secure文件寻找可疑IP登陆次数
/var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间;
[root@root log]# cat /var/run/utmp
/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看;
[root@root log]# last -n 5/var/log/wtmp
/var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。
[root@root log]# lastb -n 6/var/log/btmp
Linux系统安全日志,记录用户和工作组变化情况、用户登陆认证情况
[root@root log]# cat /var/log/secure
tail -f /var/log/secure 实时查看
记录系统登陆失败的用户、时间以及远程IP地址
[root@root log]# cat /var/log/btmp
暴力破解的人,不停的尝试各种用户名+各种密码,看来是有一个字典库了。
查看发起攻击的IP和攻击次数
Linux命令:cat /var/log/secure | awk ‘/Failed/{print $(NF-3)}’ | sort | uniq -c | awk ‘{print $2" = "$1;}’
数据:
原文链接:https://blog.csdn/emgexgb_sef/article/details/126583183
原文链接:https://blog.csdn/m0_67391870/article/details/124290028
发布者:admin,转转请注明出处:http://www.yc00.com/web/1754879120a5212131.html
评论列表(0条)