كيف تعرف محاولات SSH غير الناجحة التي قام بها خادمنا

Alejandro (a.k.a KZKG^Gaara)

1 مينوتو

منذ وقت ليس ببعيد شرحت كيفية معرفة عناوين IP التي تم توصيلها بواسطة SSHولكن ... ماذا لو كان اسم المستخدم أو كلمة المرور غير صحيحين ولم يتصلوا؟

بعبارة أخرى ، إذا كان هناك شخص ما يحاول تخمين كيفية الوصول إلى جهاز الكمبيوتر أو الخادم الخاص بنا عن طريق SSH ، فنحن بحاجة إلى معرفة ذلك أم لا؟

لذلك سنفعل نفس الإجراء كما في المنشور السابق ، وسنقوم بتصفية سجل المصادقة ولكن هذه المرة بفلتر مختلف:

cat /var/log/auth* | grep Failed

يجب عليهم تشغيل الأمر أعلاه مثل جذرأو مع سودو للقيام بذلك بأذونات إدارية.

أترك لقطة شاشة توضح كيف تبدو:

كما ترى ، يُظهر لي الشهر واليوم والوقت لكل محاولة فاشلة ، بالإضافة إلى المستخدم الذي حاولوا الدخول إليه وعنوان IP الذي حاولوا الوصول منه.

ولكن يمكن ترتيب هذا أكثر قليلاً ، سنستخدمه AWK لتحسين النتيجة قليلاً:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

ما سبق هو سطر واحد.

هنا نرى كيف سيبدو:

هذا السطر الذي أظهرته لك للتو لا يجب حفظه عن ظهر قلب ، يمكنك إنشاء ملف الاسم المستعار بالنسبة لها ، النتيجة هي نفسها كما في السطر الأول على أي حال ، فقط أكثر تنظيماً قليلاً.

أعلم أن هذا لن يكون مفيدًا للكثيرين ، ولكن بالنسبة لأولئك منا الذين يديرون الخوادم ، أعلم أنه سيظهر لنا بعض البيانات المثيرة للاهتمام.

تحياتي


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   هاكلوبر 775 قال
    منذ سنوات 12

    استخدام جيد جدا للأنابيب

    تحياتي

    الرد على hackloper775
    1.    KZKG ^ جارا قال
      منذ سنوات 12

      شكرا لك

      الرد على KZKG ^ Gaara
  2.   فيكسوكون قال
    منذ سنوات 12

    2 وظيفة ممتازة

    الرد على FIXOCONN
  3.   ميستوج @ ن قال
    منذ سنوات 12

    لطالما استخدمت النوع الأول ، لأنني لا أعرف awk ، لكن علي أن أتعلمه

    cat / var / log / auth * | فشل grep

    هنا حيث أعمل ، في كلية الرياضيات والحساب في جامعة الشرق في كوبا ، لدينا مصنع من "الهاكرز الصغار" الذين يخترعون باستمرار أشياء لا يجب عليهم فعلها ويجب أن أكون بعيون 8. موضوع ssh هو واحد منهم. شكرا على النصيحة يا صاح.

    الرد على Mystog @ N
  4.   هوغو قال
    منذ سنوات 12

    شك واحد: إذا كان لدى أحدهم خادم يواجه الإنترنت ولكن في iptables يفتح منفذ ssh فقط لبعض عناوين MAC الداخلية (دعنا نقول من مكتب) ، فإن محاولات الوصول من بقية العناوين الداخلية ستصل إلى سجل المصادقة و / أو خارجي؟ لأن لدي شكوكي.

    الرد على Hugo
    1.    KZKG ^ جارا قال
      منذ سنوات 12

      ما يتم حفظه في السجل هو فقط الطلبات التي يسمح بها جدار الحماية ، ولكن يتم رفضها أو الموافقة عليها من قبل النظام على هذا النحو (أعني تسجيل الدخول).
      إذا لم يسمح جدار الحماية بمرور طلبات SSH ، فلن يصل أي شيء إلى السجل.

      هذا لم أحاول ، لكن هيا ... أعتقد أنه يجب أن يكون هكذا 😀

      الرد على KZKG ^ Gaara
  5.   نهيق قال
    منذ سنوات 10

    فشل grep -i /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USER:» $ 9 «\ t من:» $ 11}'
    rgrep -i فشل / var / log / (logrotates folder) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USER:» $ 9 «\ t من:» $ 11}'

    الرد على Bray
    1.    نهيق قال
      منذ سنوات 10

      في سنتوس ريدهات ... إلخ .......
      / فار / السجل / آمنة

      الرد على Bray