Jak zjistit, jaké neúspěšné pokusy o SSH měl náš server

Alejandro (a.k.a KZKG^Gaara)

1 minut

Nedávno jsem to vysvětlil jak zjistit, které IP adresy byly připojeny pomocí SSH, ale ... co když bylo uživatelské jméno nebo heslo nesprávné a nepřipojili se?

Jinými slovy, pokud se někdo snaží uhodnout, jak přistupovat k našemu počítači nebo serveru přes SSH, opravdu to musíme vědět, nebo ne?

Za tímto účelem provedeme stejný postup jako v předchozím příspěvku, filtrujeme protokol ověřování, ale tentokrát s jiným filtrem:

cat /var/log/auth* | grep Failed

Měli by spustit výše uvedený příkaz jako kořen, nebo s sudo k tomu s oprávněními správce.

Nechávám screenshot toho, jak to vypadá:

Jak vidíte, ukazuje mi měsíc, den a čas každého neúspěšného pokusu, stejně jako uživatele, se kterým se pokusili vstoupit, a IP, ze kterého se pokusili získat přístup.

Ale toto může být uspořádáno trochu víc, použijeme Awk trochu vylepšit výsledek:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Výše uvedené je JEDEN řádek.

Zde vidíme, jak by to vypadalo:

Tento řádek, který jsem vám právě ukázal, by si neměl zapamatovat všichni, můžete vytvořit přezdívka pro ni je výsledek stejný jako u prvního řádku, jen o něco organizovanější.

To vím, že nebude užitečné pro mnoho, ale pro ty z nás, kteří spravujeme servery, vím, že nám to ukáže několik zajímavých dat hehe.

pozdravy


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   hackloper775 řekl
    před 12 let

    Velmi dobré využití trubek

    pozdravy

    Odpověď hackloper775
    1.    KZKG ^ Gaara řekl
      před 12 let

      Děkuji

      Odpovědět KZKG ^ Gaara
  2.   FIXOCONN řekl
    před 12 let

    Vynikající 2 příspěvek

    Odpověď na FIXOCONN
  3.   Mystog @ N řekl
    před 12 let

    Vždy jsem použil první, protože nevím awk, ale budu se to muset naučit

    cat / var / log / auth * | grep se nezdařil

    Tady, kde pracuji, na Fakultě matematiky a výpočetní techniky na Univ de Oriente na Kubě máme továrnu „malých hackerů“, kteří neustále vymýšlejí věci, které by neměli, a já musím být s 8 očima. Téma ssh je jedním z nich. Díky za tip vole.

    Odpověď Mystog @ N
  4.   Hugo řekl
    před 12 let

    Jedna otázka: pokud má server obrácený k internetu, ale v iptables otevírá port ssh pouze pro určité interní adresy MAC (řekněme z kanceláře), pokusy o přístup ze zbytku interních adres by se dostaly do protokolu ověřování a / nebo externí? Protože mám své pochybnosti.

    Odpověď Hugovi
    1.    KZKG ^ Gaara řekl
      před 12 let

      V protokolu se ukládají pouze požadavky povolené firewallem, které však systém jako takový odmítá nebo schvaluje (myslím přihlášení).
      Pokud firewall neumožňuje předání požadavků SSH, do protokolu se nic nedostane.

      To jsem nezkoušel, ale pojď ... Myslím, že to musí být takhle 😀

      Odpovědět KZKG ^ Gaara
  5.   Hýkání řekl
    před 10 let

    grep -i selhalo /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽIVATEL:» $ 9 «\ t OD:» $ 11}'
    rgrep -i selhalo / var / log / (logrotuje složky) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽIVATEL:» $ 9 «\ t OD:» $ 11}'

    Odpověď Brayovi
    1.    Hýkání řekl
      před 10 let

      v centos-redhat… .. atd ...
      / var / log / zabezpečit

      Odpověď Brayovi