SSHの不正アクセス見方メモ。
ぴゃー大量にアクセスされていたお!
ここにsshdの認証のログがある。
/var/log/secure
以下のよーなコマンドで成功のログを見る。
以下例。
# cd /var/log/
# grep "Accepted" secure*
x.x.x.xに見慣れないアドレスがあるとやばいかも…。
secure-20091025:Oct 24 22:00:00 localhost sshd[24407]:
Accepted password for hogehoge from x.x.x.x port 49408 ssh2
secure-20091025:Oct 24 22:01:00 localhost sshd[24468]:
Accepted publickey for hogehoge from x.x.x.x port 49453 ssh2
あと失敗のログも見る。
以下例。
# grep -E "Failed|Invalid" secure*
ぎゃー大量にでてきちゃったよお。・゚・(ノ∀`)・゚・。
secure-20091025:Oct 25 01:00:00 localhost sshd[24797]:
Invalid user hogehoge from x.x.x.x
secure-20091025:Oct 25 01:00:01 localhost sshd[24797]:
Failed password for invalid hogehoge test1 from
x.x.x.x port XXXX ssh2
セキュリティあげるか…。
〜編集中〜
