Come sapere quali tentativi SSH falliti ha avuto il nostro server

Alejandro (a.k.a KZKG^Gaara)

1 minuto

Non molto tempo fa ho spiegato come sapere quali IP sono stati collegati da SSH, ma ... cosa succede se il nome utente o la password non sono corretti e non si connettono?

In altre parole, se c'è qualcuno che cerca di indovinare come accedere al nostro computer o server tramite SSH, abbiamo davvero bisogno di saperlo, o no?

Per questo faremo la stessa procedura del post precedente, filtreremo il log di autenticazione ma questa volta, con un filtro diverso:

cat /var/log/auth* | grep Failed

Dovrebbero eseguire il comando sopra come radiceo con sudo farlo con autorizzazioni amministrative.

Lascio uno screenshot di come appare:

Come puoi vedere, mi mostra il mese, il giorno e l'ora di ogni tentativo fallito, nonché l'utente con cui hanno provato ad entrare e l'IP da cui hanno tentato di accedere.

Ma questo può essere organizzato un po 'di più, useremo awk per migliorare un po 'il risultato:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Quanto sopra è UNA riga.

Qui vediamo come apparirebbe:

Questa riga che ti ho appena mostrato non dovrebbe essere memorizzata tutta a memoria, puoi creare un file alias per lei il risultato è comunque lo stesso della prima riga, solo un po 'più organizzato.

Questo so che non sarà utile a molti, ma per quelli di noi che gestiscono server so che ci mostrerà alcuni dati interessanti hehe.

saluti


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   hacker775 suddetto
    fa 12 anni

    Ottimo uso dei tubi

    saluti

    Rispondi a hackloper775
    1.    KZKG ^ Gaara suddetto
      fa 12 anni

      Grazie

      Rispondi a KZKG ^ Gaara
  2.   FIXOCONN suddetto
    fa 12 anni

    Ottimo il 2 post

    Rispondi a FIXOCONN
  3.   Mystog @ N suddetto
    fa 12 anni

    Ho sempre usato il primo, perché non conosco awk, ma dovrò impararlo

    cat / var / log / auth * | grep non riuscito

    Qui dove lavoro, alla Facoltà di Matematica-Calcolo dell'Univ de Oriente di Cuba, abbiamo una fabbrica di "piccoli hacker" che inventano continuamente cose che non dovrebbero e io devo essere con 8 occhi. Il tema ssh è uno di questi. Grazie per il suggerimento amico.

    Rispondi a Mystog @ N
  4.   Hugo suddetto
    fa 12 anni

    Un dubbio: se si ha un server rivolto a Internet ma in iptables si apre la porta ssh solo per determinati indirizzi MAC interni (diciamo da un ufficio), i tentativi di accesso dal resto degli indirizzi interni raggiungerebbero il log di autenticazione e / o esterno? Perché ho i miei dubbi.

    Rispondi a Hugo
    1.    KZKG ^ Gaara suddetto
      fa 12 anni

      Nel log vengono salvate solo le richieste consentite dal firewall, ma negate o approvate dal sistema in quanto tale (intendo il login).
      Se il firewall non consente il passaggio delle richieste SSH, nulla raggiungerà il registro.

      Questo non l'ho provato, ma dai ... penso che debba essere così 😀

      Rispondi a KZKG ^ Gaara
  5.   Raglio suddetto
    fa 10 anni

    grep -i non riuscito /var/log/auth.log | awk "{print $ 2« - »$ 1» »$ 3« \ t UTENTE: »$ 9« \ t DA: »$ 11}"
    rgrep -i non riuscito / var / log / (logrotates cartelle) | awk "{print $ 2« - »$ 1» »$ 3« \ t UTENTE: »$ 9« \ t DA: »$ 11}"

    Rispondi a Bray
    1.    Raglio suddetto
      fa 10 anni

      in centos-redhat… ..etc ……
      / var / log / secure

      Rispondi a Bray