Как да разберем какви неуспешни SSH опити е имал нашият сървър

Alejandro (a.k.a KZKG^Gaara)

1 минути

Не много отдавна обясних как да разбера кои IP адреси са свързани от SSH, но ... ами ако потребителското име или паролата са били неправилни и те не са се свързали?

С други думи, ако някой се опитва да познае как да осъществим достъп до нашия компютър или сървър чрез SSH, наистина трябва да знаем или не?

За целта ще направим същата процедура, както в предишната публикация, ще филтрираме регистрационния файл за удостоверяване, но този път с различен филтър:

cat /var/log/auth* | grep Failed

Те трябва да изпълнят горната команда като коренили с Sudo да го направите с административни разрешения.

Оставям екранна снимка на това как изглежда:

Както можете да видите, той ми показва месеца, деня и часа на всеки неуспешен опит, както и потребителя, с когото са се опитали да влязат, и IP адреса, от който са се опитали да получат достъп.

Но това може да се уреди малко повече, ще използваме AWK за да подобрите малко резултата:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Горното е ЕДИН ред.

Тук виждаме как би изглеждал:

Този ред, който току-що ви показах, не трябва да се запаметява всички, можете да създадете псевдоним за нея резултатът е същият като при първия ред, само малко по-организиран.

Това знам, че няма да е полезно за мнозина, но за тези от нас, които управляват сървъри, знам, че ще ни покаже някои интересни данни хехе.

поздрави


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

     hackloper775 каза той
    13 година преди

    Много добро използване на тръби

    поздрави

    Отговорете на hackloper775
        KZKG ^ Гаара каза той
      13 година преди

      Благодаря ви

      Отговорете на KZKG ^ Gaara
     FIXOCONN каза той
    13 година преди

    Отличен 2 пост

    Отговорете на FIXOCONN
     Mystog @ N каза той
    13 година преди

    Винаги съм използвал първия, защото не знам awk, но ще трябва да го науча

    cat / var / log / auth * | grep Неуспешно

    Тук, където работя, във Факултета по математика-изчислителна техника към Univ de Oriente в Куба имаме фабрика на „малки хакери“, които непрекъснато измислят неща, които не трябва и трябва да съм с 8 очи. Темата ssh е една от тях. Благодаря за съвет пич.

    Отговорете на Mystog @ N
     Уго каза той
    13 година преди

    Един въпрос: ако някой има сървър, обърнат към интернет, но в iptables, човек отваря ssh порта само за определени вътрешни MAC адреси (да кажем от офис), опитите за достъп от останалите вътрешни адреси ще стигнат до регистрационния файл / или външни? Защото имам своите съмнения.

    Отговорете на Хюго
        KZKG ^ Гаара каза той
      13 година преди

      В дневника се записват само заявките, разрешени от защитната стена, но отказани или одобрени от системата като такива (имам предвид влизането).
      Ако защитната стена не позволява преминаването на SSH заявки, нищо няма да достигне до дневника.

      Това не съм опитвал, но хайде ... Мисля, че трябва да е така 😀

      Отговорете на KZKG ^ Gaara
     Рева каза той
    11 година преди

    grep -i не успя /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t ПОТРЕБИТЕЛ:» $ 9 «\ t ОТ:» $ 11}'
    rgrep -i не успя / var / log / (регистрира папки) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t ПОТРЕБИТЕЛ:» $ 9 «\ t ОТ:» $ 11}'

    Отговорете на Брей
        Рева каза той
      11 година преди

      в centos-redhat ... ..и т.н. ......
      / Var / дневник / сигурна

      Отговорете на Брей