我意识到有数千次尝试通过SSHlogin到我们的服务器之一,我刚刚安装了fail2ban。
在安装fail2ban之后,日志膨胀停止了,但我仍然想检查日志文件,看看是否有任何尝试成功 – 并且注意到一些奇怪的事情:如果我试图滚动浏览文件或者使用cat,我的整个控制台被打破显示一系列无法识别的字符 – 例如:
K | yj ] t] f\| JkW.b +t v u l v- % ]K ׂ+ Ye G 2W kׂ [s6ǵ1{Ë Ïf~ׂ+ 9 E,pŮ & 5 p"D P} \ _ vb+ *NW PZ 5 p D yM } Z I9 kcN5p " jc q ? 5 5\a'f : r \ +Qŵ2)S\ 2ufS up];| `QJ ؕj g TK 7q sw v x % jq Y 5X \ + T+ 2 5efo 4 q n\+ rZTR =" Ǖ VŃ1 q Uq g I D qm̩ T WxRQ Kz5L JQ j (我甚至不得不在这里删除一些符号,因为serverfault不让我提交它)
因为我用cat来打印它们(我想用cat ... | grep Acceptedfind每一个被接受的尝试)现在我的控制台也坏了:
Å0;rootÄlvpsxx-xx-xxx-xxx: ürootÄlvpsxx-xx-xxx-xxx:ü#
(我加了'xx')
我在使用cat /var/log/auth.log是否意外执行了某种恶意代码? 这甚至是可能的吗? 而我怎样才能分析这种文件,即使纳米完全中断(屏幕上的所有字符,当到达一个特定的点,包括用户界面时,突然中断)滚动通过它?
有可能是一些控制字符的文件(这似乎是二进制文件,而不是文本,也许它是一个压缩的文件,你错误地cat'ed?)改变了你的terminal的字符集。 注销并返回应该修复angular色问题。 至于文件,请确保你没有错误地捕获一个二进制文件。 如果以.bz或.gz结尾,则会压缩(或压缩)。