/var/log/secureから攻撃IPを抽出してさらすコマンド

SSH公開鍵認証ログインのみを許可してかつアクセス元IPを/etc/hosts.allowで絞っているため、ログインできないのだが、しつこく攻撃してくるやつらがいる。

こういったやつらの攻撃の場合ログに以下のように出力される

Apr 25 00:40:28 tk2-207-13289 sshd[24818]: refused connect from 181.114.222.233 (181.114.222.233)
Apr 25 01:16:37 tk2-207-13289 sshd[25164]: refused connect from S010644d9e7079248.cn.shawcable.net (24.64.90.202)

このような不届きもののIPをgrepしてさらに出現回数を数えるスクリプトはこちら。

# grep refused /var/log/secure*  | awk -F" " '{print $10}' | sort  | uniq -c | sort -r -n
    574 (159.226.170.42)
    540 (14.63.221.39)
    535 (120.33.121.155)
    357 (158.69.203.183)
    337 (159.226.125.73)
    232 (196.47.178.191)
    184 (115.110.139.134)
    123 (112.33.7.18)

わずか一カ月の間に500回以上も不正アクセスしやがって!
まぁあの国なのでしょうがないか。

カテゴリー: サーバ管理 パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

Time limit is exhausted. Please reload the CAPTCHA.