帮忙分析/var/log/secure日志,是不是被攻击?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了帮忙分析/var/log/secure日志,是不是被攻击?相关的知识,希望对你有一定的参考价值。
这是服务器出故障时间段的日志,10点发现后重启服务器才可连接。
操作系统是CentOS 6.6 (64位)
日志文件位于 /var/log/secure
最后一行IP是我们自己人的IP(183.63.117.218)
求分析这个日志文件,越详细越好。
上天查看了服务器安全日志,防火墙屏蔽了处理了一些暴力破解ssh密码的ip(其中一个ip地址为北京一家有名的CDN服务提供商),然后删除了所有的/var/log/secure* 日志文件。
今天再来查看日志的时候,发现/var/log/secure竟然没有记录,才想到直接删除日志文件的时候,对应的服务需要重启。运行命令:service syslog restart ;service sshd restart 后正常。
顺便复习下ssh在syslog中的设置的知识。
1、/etc/ssh/sshd_config 中的设置:(即:SyslogFacility 设为AUTHPRIV)
[root@mail ~]# more /etc/ssh/sshd_config
#Port 22
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
<strong>SyslogFacility AUTHPRIV</strong>
#LogLevel INFO
#就是把sshd的日志定义在authriv.info级别。
2、配合/etc/syslog.conf中的设置:
[root@mail ~]# more /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Dont log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
<strong>authpriv.* /var/log/secur</strong>e 参考技术B 可能是这个IP 182.150.23.230
以上是关于帮忙分析/var/log/secure日志,是不是被攻击?的主要内容,如果未能解决你的问题,请参考以下文章
监控一个持续刷新的日志文件/var/log/messages,命令是啥/var/log/messages