SSH登錄情況分析
1.wtmp日誌
last
last -x -F
2.查看在線用戶情況
(1)w 命令用於顯示已經登陸系統的用戶列表,並顯示用戶正在執行的指令。單獨執行w命令會顯示所有的用戶,您也可指定用戶名稱,僅顯示某位用戶的相關信息。
(2)who am i 顯示你的出口IP地址,該地址用於SSH連接的源IP
who am i
root pts/0 2018-03-29 04:12 (111.204.243.8)
3.SSH登錄日誌分析
cat /var/log/secure |more
less /var/log/secure|grep 'Accepted'
less /var/log/auth.log|grep 'Accepted'
檢查/var/log目錄下的secure(CentOS)或者auth.log(Ubuntu),如果存在大量異常IP高頻率嘗試登錄,且有成功登錄記錄(重點查找事發時間段),在微步在線上查詢該登錄IP信息,如果爲惡意IP且與用戶常用IP無關,則很有可能爲用戶弱口令被成功爆破。
/var/log/其他日誌說明:
/var/log/message 一般信息和系統信息
/var/log/secure 登陸信息
/var/log/maillog mail記錄
/var/log/utmp
/var/log/wtmp登陸記錄信息(last命令即讀取此日誌)