我试图找出哪个IP被ssh命令使用的攻击者试图ssh到一台机器(虽然他/她失败)。 该机器有多个networking接口(多个IP地址),我需要弄清楚哪一个被攻击者使用。 意思是有人做的;
ssh [email protected]
…我想弄清楚XXX.XXX.XXX.XXX是什么。 这可能吗?
这是在CentOS 7上。
看起来您只能从/var/log/secure或/var/log/audit/audit.logfind源IP地址(攻击者IP)。 没有使用目标IP地址的指示。
我想你尝试iptables日志logging所有的IP / TCP信息。 你需要一个像这样的规则:
$ sudo iptables -I INPUT -m state --state NEW -p tcp --dport 22 -j LOG
此规则将logging所有SSH连接尝试(失败或成功)。 您可以将此信息与您的审计或安全日志链接,以了解SSHlogin尝试结果。
你可以检查/var/log/secure*文件。
grep sshd /var/log/secure*
编辑
基于尤里的回答,这里有一点改进。
grep sshd /var/log/secure* | egrep -i 'accepted|failed'
sshd不会logging这些信息。 除非你有一些额外的日志logging设施 – 否则。