Hvordan man ved, hvilke mislykkede SSH-forsøg vores server har haft

Alejandro (a.k.a KZKG^Gaara)

1 minut

For ikke længe siden forklarede jeg hvordan man ved, hvilke IP'er der er forbundet med SSH, men... hvad hvis brugernavnet eller adgangskoden var forkert, og de ikke oprettede forbindelse?

Jeg mener, hvis nogen forsøger at finde ud af, hvordan man SSH ind i vores computer eller server, har vi virkelig brug for at vide det, ikke?

Til det vil vi gøre den samme procedure som i det forrige indlæg, vi vil filtrere godkendelsesloggen, men denne gang med et andet filter:

cat /var/log/auth* | grep Failed

De skal køre ovenstående kommando som rod, eller med sudo at gøre det med administrative tilladelser.

Jeg efterlader dig et skærmbillede af, hvordan det ser ud:

Som du kan se, viser den mig måneden, dagen og klokkeslættet for hvert mislykket forsøg, samt den bruger, de forsøgte at logge ind med, og den IP-adresse, som de forsøgte at logge ind fra.

Men dette kan arrangeres lidt mere, vi bruger akavet for at forbedre resultatet en smule:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Ovenstående er EN linje.

Her ser vi, hvordan det vil se ud:

Denne linje, som jeg lige har vist, skal du ikke lære det hele udenad, du kan lave en alias for hende er resultatet dog det samme som med den første linje, kun lidt mere organiseret.

Jeg ved, at dette ikke vil være nyttigt for mange, men for dem af os, der administrerer servere, ved jeg, at det vil vise os nogle interessante data hehe.

hilsen


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   hackloper775 sagde han
    siden 12 år

    Rigtig god brug af rør

    hilsen

    Svar på hackloper775
    1.    KZKG ^ Gaara sagde han
      siden 12 år

      Tak

      Svar på KZKG ^ Gaara
  2.   FIXOCONN sagde han
    siden 12 år

    Fremragende de 2 indlæg

    Svar på FIXOCONN
  3.   Mystog @ N sagde han
    siden 12 år

    Jeg brugte altid den første, for jeg ved ikke awk, men jeg bliver nødt til at lære det

    kat /var/log/auth* | grep mislykkedes

    Her hvor jeg arbejder, på det matematiske databehandlingsfakultet på Univ de Oriente i Cuba, har vi en fabrik af "hackere", som konstant opfinder ting, som de ikke burde, og jeg skal være med 8 øjne. ssh-problemet er et af dem. Tak for tippet fyr.

    Svar på Mystog @ N
  4.   Hugo sagde han
    siden 12 år

    Et spørgsmål: hvis man har en server, der vender mod internettet, men i iptables åbner man kun ssh-porten for visse interne MAC-adresser (f.eks. fra et kontor), vil adgangsforsøg fra resten af ​​de interne adresser nå godkendelsesloggen og/eller ekstern ? For jeg har mine tvivl.

    Svar til Hugo
    1.    KZKG ^ Gaara sagde han
      siden 12 år

      I loggen er det kun de anmodninger, der er tilladt af firewallen, men afvist eller godkendt af systemet som sådan (jeg mener login).
      Hvis firewallen ikke tillader SSH-anmodninger at passere, vil der ikke blive logget noget.

      Jeg har ikke prøvet det her, men kom nu... jeg synes det skal være sådan 😀

      Svar på KZKG ^ Gaara
  5.   Bray sagde han
    siden 10 år

    grep -i mislykkedes /var/log/auth.log | awk '{print $2 «-» $1 » » $3 «\t BRUGER: » $9 «\t FRA: » $11}'
    rgrep -i mislykkedes /var/log/(logroterer mapper) | awk '{print $2 «-» $1 » » $3 «\t BRUGER: » $9 «\t FRA: » $11}'

    Svar til Bray
    1.    Bray sagde han
      siden 10 år

      i centos-redhat…..osv……
      / Var / log / sikker

      Svar til Bray