Я только что установил fail2ban после того, как понял, что были десятки тысяч попыток войти на один из наших серверов через SSH.
После установки fail2ban раздувание журнала прекратилось, но я все же хотел проверить файлы журнала, чтобы узнать, была ли какая-либо попытка успешной, - и заметил кое-что странное: если я попытаюсь прокрутить файлы или использовать cat, вся моя консоль сломается после отображение длинного ряда неопознанных символов - например:
K��|�
��yj�]���t]��f\|�JkW.b�+t��v�u�l�v-���%��]K���ׂ+�Ye��G���2W�kׂ�[s6ǵ1{Ë�Ïf~ׂ+�9���E,pŮ�&�����5�p"D��P}�\�_�vb+���*NW�PZ�5�p�D�yM�}��Z��I9�kcN5p�"��jc ����q���?���5�5\a'f :�r\�+Qŵ2)S\���2ufS��up];|���`QJ����ؕj�g��TK
�7q�sw��v�x�%���jq
���Y�5X� \�+�T+ �2�5efo�4���q����n\+�rZTR�="�Ǖ����VŃ1�q�Uq�g�I�D����qm̩�T�WxRQ
Kz5L���JQ���j������
(Мне даже пришлось удалить здесь некоторые символы, так как serverfault не позволил мне отправить его)
Поскольку я использовал cat чтобы распечатать их (я хотел использовать cat ... | grep Accepted чтобы найти все принятые попытки) теперь и моя консоль сломана:
Å0;rootÄlvpsxx-xx-xxx-xxx: ürootÄlvpsxx-xx-xxx-xxx:ü#
(Я добавил "хх")
Я случайно выполнил какой-то вредоносный код при использовании cat /var/log/auth.log? Это вообще возможно? И как я могу проанализировать этот тип файла, даже если нано полностью ломается (все символы на экране внезапно ломаются при достижении определенного места, включая пользовательский интерфейс) при его прокрутке?
Вероятно, в этом файле были какие-то управляющие символы (которые выглядят двоичными, а не текстовыми. Может быть, это заархивированный файл, который вы случайно загрузили?), Которые изменили набор символов вашего терминала. Выход из системы и повторный вход должны решить проблему с персонажем. Что касается файла, убедитесь, что вы не создали бинарный файл по ошибке. Если он заканчивается на .bz или .gz, он заархивирован с помощью bzip (или gzip).