解决过程:百度了一下,说是可能ssh配置文件有问题,修改‘PermitRootLogin yes’。修改完成后重启sshd服务,root仍然无法登录。普通用户可以正常登录。 查看log日志,也没有特别的错误‘failed password for root’。 使用命令查看ssh状态。 systemctl status sshd ,其中有提示 由于错误次数太多,账户被锁定了。 查看登录失败...
记得这个文件就是个登陆日志,而且我之前偶尔查看时都很少内容,所以就直接cat查看了,谁知道竟然是满屏满屏的,"Failed password for root XXX.XXX.XXX.XXX",等了将近一分钟仍然不见底,最后只好Ctrl+c提前结束,然后写条命令了下,看看究竟有多少个IP在暴利破解我的root:...
随着OpenSSH更新,之前的版本也存在了一些已知漏洞,给系统带来安全风险,OpenSSH 8.2p1版本已经发布,该版本的一些新特性最主要的就是加密方式的改变,禁用了ssh-rsa算法;支持FIDO/U2F硬件认证器。 一、升级说明 1、升级OpenSSH后,原有公钥失效,信任关系需要重新配置; 2、升级过程需要停止sshd服务,会导致ssh和sftp无法使...
Sep 17 09:10:14 localhost sshd[29223]: Failed password for root from 13.7.3.6 port 56482 ssh2 从这些行中提取IP地址,如果次数达到10次(脚本中判断次数字符长度是否大于1)则将该IP写到 /etc/hosts.deny中。 三、步骤: 1、先把始终允许的IP填入 /etc/hosts.allow ,这很重要!比如: ...
1、统计了下日志,发现大约有126254次登录失败的记录,确认服务器遭受暴力破解[root@localhost ~]# grep -o "Failed password" /var/log/secure|uniq -c 126254 Failed password 2、输出登录爆破的第一行和最后一行,确认爆破时间范围:[root@localhost ~]# grep "Failed password" /var/log/secure|head ...
二、方法:读取/var/log/secure,查找关键字 Failed,(#cat /var/log/secure | grep Failed)例如(注:文中的IP地址特意做了删减): Sep 17 09:08:09 localhost sshd[29087]: Failed password for root from 13.7.3.6 port 44367 ssh2 Sep 17 09:08:20 localhost sshd[29087]: Failed password for root fro...
[root@localhost ~]# grep "Failed password" /var/log/secure|tail -1 Jul 10 12:37:21 localhost sshd[2654]: Failed password for root from 111.13.xxx.xxx port 13068 ssh2 3、进一步定位有哪些IP在爆破? [root@localhost ~]# grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]...
tail -n1000 /var/log/secure |grep "Failed password for root from" |awk '{print $11}'|sort |uniq -c |awk '{if($1 >5) print $2}' > /tmp/.erro_ssh_ip for i in $(cat /tmp/.erro_ssh_ip) do new_ip=`grep -c "$i" /etc/sshd.deny.hostguard` ...
sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 因为腾讯云还有个默认用户Ubuntu,也可以一起看看,或是查看一下自己其他用户的错误登录 sudo grep "Failed password for ubuntu" /var/log/auth.log | awk '{print $11}' | sor...