Kako znati koje je neuspješne SSH pokušaje imao naš poslužitelj

Alejandro (a.k.a KZKG^Gaara)

1 minuta

Nedavno sam objasnio kako znati koje IP-ove je povezao SSH, ali ... što ako su korisničko ime ili lozinka bili netočni i nisu se povezali?

Drugim riječima, ako netko pokušava pogoditi kako pristupiti našem računalu ili poslužitelju putem SSH-a, to stvarno moramo znati ili ne?

Za to ćemo napraviti isti postupak kao u prethodnom postu, filtrirat ćemo zapis autentifikacije, ali ovaj put, s drugim filtrom:

cat /var/log/auth* | grep Failed

Trebali bi pokrenuti gornju naredbu poput korijenili sa sudo to učiniti s administrativnim dozvolama.

Ostavljam snimku zaslona kako to izgleda:

Kao što vidite, prikazuje mi mjesec, dan i vrijeme svakog neuspjelog pokušaja, kao i korisnika s kojim su pokušali ući i IP adresu s koje su pokušali pristupiti.

Ali ovo se može dogovoriti malo više, mi ćemo iskoristiti awk kako bismo malo poboljšali rezultat:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Gore je JEDAN redak.

Ovdje vidimo kako bi to izgledalo:

Ovaj redak koji sam vam upravo pokazao ne biste trebali sve pamtiti, možete stvoriti pseudonim za nju je, međutim, rezultat isti kao i kod prvog retka, samo malo organiziraniji.

To znam da mnogima neće biti korisno, ali za one od nas koji upravljamo poslužiteljima znam da će nam pokazati neke zanimljive podatke hehe.

pozdravi


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   hakloper775 dijo
    zec 12 godina

    Vrlo dobro korištenje cijevi

    pozdravi

    Odgovorite na hackloper775
    1.    KZKG ^ Gaara dijo
      zec 12 godina

      Hvala ti

      Odgovoriti na KZKG ^ Gaara
  2.   FIXOCONN dijo
    zec 12 godina

    Izvrsno 2 posta

    Odgovorite na FIXOCONN
  3.   Mystog @ N dijo
    zec 12 godina

    Uvijek sam koristio prvi, jer awk ne znam, ali morat ću ga naučiti

    cat / var / log / auth * | grep nije uspio

    Ovdje, gdje radim, na Matematičko-računskom fakultetu Univ de Oriente na Kubi imamo tvornicu "hakera", koji neprestano izmišljaju stvari koje ne bi smjeli, a ja moram biti s 8 očiju. Tema ssh jedna je od njih. Hvala na tipku.

    Odgovorite na Mystog @ N
  4.   Hugo dijo
    zec 12 godina

    Jedna dvojba: ako netko ima poslužnik okrenut ka Internetu, ali u iptablesima se otvara ssh priključak samo za određene interne MAC adrese (recimo za ured), pokušaji pristupa s ostalih internih adresa dospjeli bi u zapisnik provjere autentičnosti i / ili vanjski? Jer ja sumnjam.

    Odgovorite Hugu
    1.    KZKG ^ Gaara dijo
      zec 12 godina

      U zapisniku se spremaju samo zahtjevi koje vatrozid dopušta, ali ih sustav odbija ili odobrava (mislim na prijavu).
      Ako vatrozid ne dopušta prolaz SSH zahtjeva, ništa neće doći do dnevnika.

      Ovo nisam probao, ali hajde ... mislim da mora biti ovako 😀

      Odgovoriti na KZKG ^ Gaara
  5.   Njakanje dijo
    zec 10 godina

    grep -i nije uspio /var/log/auth.log | awk '{ispis $ 2 «-» $ 1 »» $ 3 «\ t KORISNIK:» $ 9 «\ t OD:» $ 11}'
    rgrep -i nije uspio / var / log / (prijavljuje mape) | awk '{ispis $ 2 «-» $ 1 »» $ 3 «\ t KORISNIK:» $ 9 «\ t OD:» $ 11}'

    Odgovorite Brayu
    1.    Njakanje dijo
      zec 10 godina

      u centos-redhat ... ... itd ...
      / var / log / secure

      Odgovorite Brayu