Hogyan lehet tudni, hogy a szerverünk milyen sikertelen SSH-kísérleteket hajtott végre?

Alejandro (a.k.a KZKG^Gaara)

1 perc

Nem rég magyaráztam hogyan lehet tudni, hogy mely IP-ket kapcsolta össze az SSH, de ... mi van, ha a felhasználónév vagy a jelszó helytelen volt, és nem csatlakoztak?

Más szóval, ha valaki megpróbálja kitalálni, hogyan juthatunk el számítógépünkhöz vagy szerverünkhöz SSH-val, akkor valóban tudnunk kell, vagy sem?

Ehhez ugyanazt az eljárást fogjuk megtenni, mint az előző bejegyzésben, szűrjük a hitelesítési naplót, de ezúttal egy másik szűrővel:

cat /var/log/auth* | grep Failed

A fenti parancsot hasonlóan kell futtatniuk gyökér, vagy velük sudo adminisztrátori engedélyekkel megtenni.

Hagyok egy képernyőképet a külsejéről:

Amint láthatja, megmutatja nekem az egyes sikertelen kísérletek hónapját, napját és idejét, valamint azt a felhasználót, akivel megpróbáltak belépni, és azt az IP-t, amelyből megpróbáltak hozzáférni.

De ezt még egy kicsit el lehet intézni, használjuk awk hogy kicsit javítson az eredményen:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

A fenti EGY vonal.

Itt láthatjuk, hogy nézne ki:

Ezt a sort, amelyet most megmutattam neked, nem szabad fejből megjegyezni, létrehozhatsz egy álnév számára az eredmény egyébként megegyezik az első vonallal, csak kicsit szervezettebb.

Ez tudom, hogy sokak számára nem lesz hasznos, de a kiszolgálókat kezelők számára tudom, hogy érdekes adatokat fog mutatni nekünk hehe.

Üdvözlet


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   hackloper775 dijo
    ezelőtt 12 év

    Nagyon jó a csövek használata

    Üdvözlet

    Válasz a hackloper775 címre
    1.    KZKG ^ Gaara dijo
      ezelőtt 12 év

      Köszönöm

      Válasz a KZKG ^ Gaara címre
  2.   FIXOCONN dijo
    ezelőtt 12 év

    Kiváló a 2 poszt

    Válasz a FIXOCONN címre
  3.   Mystog @ N dijo
    ezelőtt 12 év

    Mindig az elsőt használtam, mert nem ismerem az awk-t, de muszáj lesz megtanulnom

    cat / var / log / auth * | grep sikertelen

    Itt, ahol dolgozom, a kubai Univ de Oriente Matematika-Számítástechnikai Karán van egy "kis hackerek" gyára, akik folyamatosan olyan dolgokat találnak ki, amiknek nem kellene, és nekem 8 szemmel kell lennem. Az ssh téma az egyik. Köszönöm a tipp haver.

    Válasz a Mystog @ N címre
  4.   Hugo dijo
    ezelőtt 12 év

    Egy kétség: ha van egy szervere, amely az internet felé néz, de az iptables-ben az ssh portot csak bizonyos belső MAC címeknél nyitja meg (mondjuk egy irodától), akkor a többi belső cím hozzáférési kísérlete eléri a hitelesítési naplót, és / vagy külső? Mert kétségeim vannak.

    Válasz Hugónak
    1.    KZKG ^ Gaara dijo
      ezelőtt 12 év

      A naplóban csak a tűzfal által engedélyezett kérések vannak mentve, de a rendszer megtagadja vagy jóváhagyja őket (mármint a bejelentkezést).
      Ha a tűzfal nem engedi átadni az SSH-kérelmeket, semmi sem éri el a naplót.

      Ezt nem próbáltam meg, de gyerünk ... szerintem ennek így kell lennie 😀

      Válasz a KZKG ^ Gaara címre
  5.   Iázik dijo
    ezelőtt 10 év

    grep -i nem sikerült /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t FELHASZNÁLÓ:» $ 9 «\ t FROM:» $ 11}'
    rgrep -i sikertelen / var / log / (mappákat váltogat) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t FELHASZNÁLÓ:» $ 9 «\ t FROM:» $ 11}'

    Válasz Bray-nek
    1.    Iázik dijo
      ezelőtt 10 év

      centos-redhatban ... .. stb.
      / var / log / biztonságos

      Válasz Bray-nek