如何统计/var/log/secure文件中非法尝试ssh的用户登录的ip及其尝试次数

liuboo
如何统计/var/log/secure文件中非法尝试ssh的用户登录的ip及其尝试次数

如题

walkerxk
我的服务器上没有这个文件,你可以把内容发一部分出来,如果涉及安全问题的话你可以自己改掉一部分。

无声无息
/var/log/secure在redhat中有
先用uniq -c统计次数,然后在找出ip

walkerxk
要先sort的吧,还有可能用cut或者sed处理一下。不知道和ubuntu的lastb是不是一样。

无声无息
我只是简略了,和普通的日志差不多
ls说的只是一个成功登陆的记录,/var/log/secure所有链接记录都有的

walkerxk
不是,last记录成功的记录,lastb记录失败的记录,两个对应的文件也不一样,一个是/var/log/wtmp,一个是/var/log/btmp。

walkerxk
如果/var/log/secure是文本形式的话可以这样:
grep -o '[0-9]/{1,3/}/.[0-9]/{1,3/}/.[0-9]/{1,3/}/.[0-9]/{1,3/}' /var/log/secure|sort|uniq -c,没有资料,所以不保证成功。

liuboo
[quote]原帖由 [i]walkerxk[/i] 于 2008-6-29 20:23 发表 [url=http://bbs.chinaunix.net/redirect.php?goto=findpost&pid=8698156&ptid=1183685][img]http://bbs.chinaunix.net/images/common/back.gif[/img][/url]
如果/var/log/secure是文本形式的话可以这样:
grep -o '[0-9]/{1,3/}/.[0-9]/{1,3/}/.[0-9]/{1,3/}/.[0-9]/{1,3/}' /var/log/secure|sort|uniq -c,没有资料,所以不保证成功。 [/quote]
谢谢,答案与此相差无几。这是昨天的一个小作业,我没有头绪,所以就发贴上来了,没想到有这么多热心的人回复,真的是很感谢各位~!

nuclearxin
.... home  work~~~~~~!
awk '/fucking/{a[$usename,$ip]+}END{for(i in a)print i,a[ i]'
searching  for  awk

[[i] 本帖最后由 nuclearxin 于 2008-6-30 10:38 编辑 [/i]]

walkerxk
[quote]原帖由 [i]liuboo[/i] 于 2008-6-30 10:28 发表 [url=http://bbs.chinaunix.net/redirect.php?goto=findpost&pid=8700852&ptid=1183685][img]http://bbs.chinaunix.net/images/common/back.gif[/img][/url]

谢谢,答案与此相差无几。这是昨天的一个小作业,我没有头绪,所以就发贴上来了,没想到有这么多热心的人回复,真的是很感谢各位~! [/quote]
-_-!多?我怎么就看到两个?难道有人被我选择性无视了?

无声无息
[quote]原帖由 [i]walkerxk[/i] 于 2008-6-30 14:11 发表 [url=http://bbs.chinaunix.net/redirect.php?goto=findpost&pid=8702889&ptid=1183685][img]http://bbs.chinaunix.net/images/common/back.gif[/img][/url]

-_-!多?我怎么就看到两个?难道有人被我选择性无视了? [/quote]

你一个顶N个,shell的大众情人就是你了

walkerxk
[quote]原帖由 [i]无声无息[/i] 于 2008-6-30 16:26 发表 [url=http://bbs.chinaunix.net/redirect.php?goto=findpost&pid=8704108&ptid=1183685][img]http://bbs.chinaunix.net/images/common/back.gif[/img][/url]


你一个顶N个,shell的大众情人就是你了 [/quote]
-_-!这算灌水么?为什么我有种在犯罪的感觉?

无声无息
在夸你,你当做灌水也行,o(∩_∩)o...哈哈