今天在折騰vps的時候,發現 /var/log/secure 文件很大,足足有40M,而且還有好幾個分割的文件,都在10M,20M左右,一看就知道肯定有人在幹壞事了(暴力破解來登陸你的系統)!
先貼個跑了 grep "Failed password for root" /var/log/secure* | awk '{print $11}' | sort | uniq -c | sort -nr| more 這個命令後的截圖(PS,這個還是在我刪了40M最大文件那個之後跑的):
簡直喪心病狂有木有!!!感覺到來自世界深深的惡意。。
對付的辦法是先從登陸日誌文件 /var/log/secure 中分析出在進行暴力破解的ip,然後再通過 iptables 命令把相應的ip加入到禁止列表來禁止暴力破解的ip登陸系統。
寫個小腳本如下:
#!/bin/bash
#分析登陸日誌/var/log/secure 禁止失敗過多的ip
#防止暴力破解
num=10 #失敗次數,這個可以自己調
for i in `awk '/Failed/{print $(NF-3)}' /var/log/secure* |sort|uniq -c|sort -rn|awk '{if ($1>$num){print $2}}'`
do
iptables -I INPUT -p tcp -s $i --dport 22 -j DROP
done執行一下就ok了。再加個定時任務跑一下,over。