Kuinka tietää, mitä epäonnistuneita SSH-yrityksiä palvelimellamme on ollut

Alejandro (a.k.a KZKG^Gaara)

1 minuutin

Ei kauan sitten selitin kuinka tietää, mitkä IP: t on yhdistetty SSH: llä, mutta ... entä jos käyttäjänimi tai salasana oli väärä eivätkä muodostaneet yhteyttä?

Toisin sanoen, jos joku yrittää arvata, miten pääsemme tietokoneellemme tai palvelimellemme SSH: n kautta, meidän on todella tiedettävä vai ei?

Tätä varten teemme saman menettelyn kuin edellisessä viestissä, suodatamme todennuslokin, mutta tällä kertaa toisella suodattimella:

cat /var/log/auth* | grep Failed

Heidän tulisi suorittaa yllä oleva komento kuten juuritai sudo tehdä se järjestelmänvalvojan oikeuksilla.

Jätän kuvakaappauksen miltä se näyttää:

Kuten näette, se näyttää minulle jokaisen epäonnistuneen yrityksen kuukauden, päivän ja kellonajan sekä käyttäjän, jonka kanssa he yrittivät syöttää, ja IP-osoitteen, josta he yrittivät käyttää.

Mutta tämä voidaan järjestää hieman enemmän, käytämme awk parantaa tulosta hieman:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Yllä on YKSI rivi.

Täällä näemme miltä se näyttää:

Tätä juuri osoittamaasi riviä ei pidä muistaa kaikki, voit luoda alias hänelle tulos on sama kuin ensimmäisellä rivillä, vain hieman järjestäytyneempi.

Tästä tiedän, että siitä ei ole hyötyä monille, mutta niille meistä, jotka hallitsevat palvelimia, tiedän, että se näyttää meille mielenkiintoisia tietoja hehe.

terveiset


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   Hakkari775 dijo
    sitten 12 vuotta

    Erittäin hyvä putkien käyttö

    terveiset

    Vastaa hackloper775
    1.    KZKG ^ Gaara dijo
      sitten 12 vuotta

      Kiitos

      Vastaa KZKG ^ Gaara
  2.   FIXOCONN dijo
    sitten 12 vuotta

    Erinomainen 2 viesti

    Vastaa FIXOCONN
  3.   Mystog @ N dijo
    sitten 12 vuotta

    Käytin aina ensimmäistä, koska en tiedä awk: tä, mutta minun on opittava se

    cat / var / log / auth * | grep epäonnistui

    Täällä, missä työskentelen, Kuuban Univ de Orienten matematiikan laskentatieteellisessä tiedekunnassa, meillä on tehdas "pienistä hakkereista", jotka keksivät jatkuvasti asioita, joita heidän ei pitäisi, ja minun on oltava 8 silmällä. Ssh-teema on yksi niistä. Kiitos kärsimyksestä.

    Vastaa Mystog @ N: lle
  4.   Hugo dijo
    sitten 12 vuotta

    Yksi kysymys: jos palvelimella on Internet-yhteys, mutta iptablesissa ssh-portti avataan vain tietyille sisäisille MAC-osoitteille (sanotaan esimerkiksi toimistosta), muilta sisäisiltä osoitteilta pääsyyritykset saavuttavat todennuslokin ja / tai ulkoinen? Koska minulla on epäilyksiä.

    Vastaa Hugolle
    1.    KZKG ^ Gaara dijo
      sitten 12 vuotta

      Lokiin tallennetaan vain palomuurin sallimia pyyntöjä, mutta järjestelmä on hylännyt tai hyväksynyt sellaisenaan (tarkoitan kirjautumista).
      Jos palomuuri ei salli SSH-pyyntöjen kulkua, lokiin ei pääse mitään.

      Tätä en ole kokeillut, mutta tule ... Luulen, että sen on oltava näin 😀

      Vastaa KZKG ^ Gaara
  5.   Kiljua dijo
    sitten 10 vuotta

    grep -i epäonnistui /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KÄYTTÄJÄ:» $ 9 «\ t LÄHETTÄJÄ:» $ 11}'
    rgrep -i epäonnistui / var / log / (selaa kansioita) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t KÄYTTÄJÄ:» $ 9 «\ t LÄHETTÄJÄ:» $ 11}'

    Vastaa Braylle
    1.    Kiljua dijo
      sitten 10 vuotta

      sentti-redhatissa ... .. jne. ...
      / Var / log / turvallista

      Vastaa Braylle