Com saber què intents fallits de SSH ha tingut el nostre servidor

Fa no gaire vaig explicar com saber què IPs s'han connectat per SSH, Però ... i si l'usuari o password va ser incorrecte i no es van connectar?

O sigui, si hi ha algú intentant endevinar com accedir per SSH al nostre ordinador o servidor, de debò necessitem saber-ho o no?

Per això farem el mateix procediment que en el post anterior, filtrarem el log d'autenticació però aquesta vegada, amb un filtre diferent:

cat /var/log/auth* | grep Failed

Han executar la comanda anterior com root, O amb suo per fer-ho amb permisos administratius.

Els deixo un screenshot de com es veu:

Com poden veure, em mostra el mes, dia i hora de cada intent fallit, així com l'usuari amb que van intentar entrar i la IP des de la qual van intentar accedir-hi.

Però això es pot organitzar una mica més, farem servir awk per millorar una mica el resultat:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

El de dalt és UNA sola línia.

Aquí veiem com ens quedaria:

Aquesta línia que els acabo de mostrar no han de aprendre-tota de memòria, poden crear un àlies per a ella, de tota manera el resultat és el mateix que amb la primera línia, només que una mica més organitzat.

Això sé que no a molts els serà d'utilitat, però als que administrem servidors sé que sí ens mostrarà unes quantes dades interessants jeje.

Salutacions


El contingut d'l'article s'adhereix als nostres principis de ètica editorial. Per notificar un error punxa http://secbcaixabank.info/SECB-COVIDXNUMX-DENUNCIA-INSPECCION-PROTOCOLO-.pdf.

8 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   hackloper775 va dir

    Molt bon ús de pipes

    Salutacions

    1.    KZKG ^ Gaara va dir

      gràcies

  2.   FIXOCONN va dir

    Excel·lent als 2 post

  3.   Mystog @ N va dir

    Jo feia servir sempre el primer, ja que no em conec awk, però vaig a haver de aprendre-

    cat / var / log / auth * | grep Failed

    Aqui on treball, a la facultat de matemàtica-computacion de la Univ d'Orient a Cuba, tenim una fàbrica de «hackercillos», que a cada estona van inventant coses que no han de i he d'estar amb 8 ulls. El tema de l'ssh serà un d'ells. Thanks pel tip dubti.

  4.   Hugo va dir

    Un dubte: si un té un servidor de cara a internet però en iptables un obre el port ssh només per certes adreces MAC internes (diguem d'una oficina), arribarien a el log d'autenticació els intents d'accés des de la resta de les adreces internes i / o externes? Perquè jo tinc els meus dubtes.

    1.    KZKG ^ Gaara va dir

      En el log el que es guarda és només les peticions permeses pel tallafocs, però denegades o aprovades pel sistema com a tal (em refereixo a l'login).
      Si el tallafocs no permet passar peticions SSH, no arribarà a l'log res.

      Això no ho he provat, però anem ... crec que ha de ser així 😀

  5.   Bram va dir

    grep -i failed /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USUARI:» $ 9 «\ t DES DE:» $ 11}'
    rgrep -i failed / var / log / (carpetes d'logrotates) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USUARI:» $ 9 «\ t DES DE:» $ 11}'

    1.    Bram va dir

      en centos-redhat ... ..etc ......
      / Var / log / secure