منذ وقت ليس ببعيد شرحت كيفية معرفة عناوين IP التي تم توصيلها بواسطة SSHولكن ... ماذا لو كان اسم المستخدم أو كلمة المرور غير صحيحين ولم يتصلوا؟
بعبارة أخرى ، إذا كان هناك شخص ما يحاول تخمين كيفية الوصول إلى جهاز الكمبيوتر أو الخادم الخاص بنا عن طريق SSH ، فنحن بحاجة إلى معرفة ذلك أم لا؟
لذلك سنفعل نفس الإجراء كما في المنشور السابق ، وسنقوم بتصفية سجل المصادقة ولكن هذه المرة بفلتر مختلف:
cat /var/log/auth* | grep Failed
أترك لقطة شاشة توضح كيف تبدو:
ولكن يمكن ترتيب هذا أكثر قليلاً ، سنستخدمه AWK لتحسين النتيجة قليلاً:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
هنا نرى كيف سيبدو:
أعلم أن هذا لن يكون مفيدًا للكثيرين ، ولكن بالنسبة لأولئك منا الذين يديرون الخوادم ، أعلم أنه سيظهر لنا بعض البيانات المثيرة للاهتمام.
تحياتي
8 تعليقات ، اترك لك
استخدام جيد جدا للأنابيب
تحياتي
شكرا لك
2 وظيفة ممتازة
لطالما استخدمت النوع الأول ، لأنني لا أعرف awk ، لكن علي أن أتعلمه
cat / var / log / auth * | فشل grep
هنا حيث أعمل ، في كلية الرياضيات والحساب في جامعة الشرق في كوبا ، لدينا مصنع من "الهاكرز الصغار" الذين يخترعون باستمرار أشياء لا يجب عليهم فعلها ويجب أن أكون بعيون 8. موضوع ssh هو واحد منهم. شكرا على النصيحة يا صاح.
شك واحد: إذا كان لدى أحدهم خادم يواجه الإنترنت ولكن في iptables يفتح منفذ ssh فقط لبعض عناوين MAC الداخلية (دعنا نقول من مكتب) ، فإن محاولات الوصول من بقية العناوين الداخلية ستصل إلى سجل المصادقة و / أو خارجي؟ لأن لدي شكوكي.
ما يتم حفظه في السجل هو فقط الطلبات التي يسمح بها جدار الحماية ، ولكن يتم رفضها أو الموافقة عليها من قبل النظام على هذا النحو (أعني تسجيل الدخول).
إذا لم يسمح جدار الحماية بمرور طلبات SSH ، فلن يصل أي شيء إلى السجل.
هذا لم أحاول ، لكن هيا ... أعتقد أنه يجب أن يكون هكذا 😀
فشل grep -i /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USER:» $ 9 «\ t من:» $ 11}'
rgrep -i فشل / var / log / (logrotates folder) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USER:» $ 9 «\ t من:» $ 11}'
في سنتوس ريدهات ... إلخ .......
/ فار / السجل / آمنة