調べる元となるログは
| /var/log/secure ←■ このファイル |
んで
キーとなるのはログの "Invalid user"
これを数えて判断することにした
"Invalid user"になった回数およびアクセス元は
| # grep "Invalid user" secure | awk '{print $10}' | sort | uniq -c |
で調べられ
| 39089 118.46.***.*** ←■ 39000回もアクセスするなんて糞だね 328 119.82.***.*** 179 122.155.***.*** 131 203.116.***.*** |
のように表示される
ちなみにこのコマンドの意味は secureログに出力された "Invalid user" の行を見つけ
10番目のワード(ここにIPアドレスがある)を取得し、ソート、んで重複した行を削除しカウントするという意味になる。
("Invalid user"が含まれる行抜粋)
| Aug 30 05:10:55 hostname sshd[32379]: Invalid user test from 219.140.***.*** |
| 単語 | 順番 |
|---|---|
| Aug | 1ワード目 |
| 30 | 2ワード目 |
| 05:10:55 | 3ワード目 |
| hostname | 4ワード目 |
| sshd[32379]: | 5ワード目 |
| Invalid | 6ワード目 (こいつと) |
| user | 7ワード目 (こいつをセットで検索) |
| test | 8ワード目 (これが不正アクセスを試みたユーザー名) |
| from | 9ワード目 |
| 118.46.***.*** | 10ワード目 (これを基にカウント) |
0 件のコメント:
コメントを投稿