Linuxで不正アクセスっぽいモノを記録するログが /var/log/btmp で、こいつはプレーンテキストではないので lastb コマンドで中身を確認する。 セキュリティ対策をしていないサイトだと膨大なログになるのでちょっとフィルタする。 不正アクセスっぽいモノのIPを抽出するには lastb -ia|sed -e “s/.* \([0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+\)$/\1/g”|sort|uniq lastbの出力でホスト名ではなくIPで表示して、一番最後にアドレスを出す。 それをsedに流してIP部分を切り出して、ソートして、重複を取り除いている。 正常なアクセスっぽいモノが記録されるログは /var/log/wtmp で、こいつもプレーンテキストではないので last コマンドで中身を確認できる。 不正アクセスっぽいモノ同様に last -i