Kaip sužinoti nesėkmingus SSH bandymus mūsų serveryje

Alejandro (a.k.a KZKG^Gaara)

1 minučių

Ne taip seniai paaiškinau kaip sužinoti, kuriuos IP sujungė SSH, bet ... o jei naudotojo vardas ar slaptažodis buvo neteisingi ir jie neprisijungė?

Kitaip tariant, jei kas nors bando atspėti, kaip pasiekti mūsų kompiuterį ar serverį per SSH, mes tikrai turime žinoti, ar ne?

Tam atliksime tą pačią procedūrą kaip ir ankstesniame įraše, filtruosime autentifikavimo žurnalą, tačiau šį kartą naudodami kitą filtrą:

cat /var/log/auth* | grep Failed

Jie turėtų vykdyti minėtą komandą kaip šaknis, arba su : sudo tai padaryti turint administracinius leidimus.

Aš palieku ekrano kopiją, kaip ji atrodo:

Kaip matote, man rodomas kiekvieno nepavykusio bandymo mėnuo, diena ir laikas, taip pat vartotojas, su kuriuo bandė įvesti, ir IP, iš kurio bandė pasiekti.

Bet tai galime susitarti šiek tiek daugiau, mes naudosime Oho šiek tiek pagerinti rezultatą:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Aukščiau yra VIENA eilutė.

Čia matome, kaip tai atrodytų:

Šios eilutės, kurią ką tik jums parodžiau, nereikėtų atmintinai mokėti atmintinai, galite sukurti pravardė jai rezultatas vis tiek yra toks pats, kaip ir pirmoje eilutėje, tik šiek tiek labiau organizuotas.

Tai žinau, kad nedaugeliui tai bus naudinga, bet tiems iš mūsų, kurie valdo serverius, žinau, kad tai parodys mums įdomių duomenų.

saludos


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   775 sakė
    prieš 12 metai

    Labai gerai naudoja vamzdžius

    saludos

    Atsakyti į hackloper775
    1.    KZKG ^ Gaara sakė
      prieš 12 metai

      Ačiū

      Atsakyti KZKG ^ Gaara
  2.   FIXOCONN sakė
    prieš 12 metai

    Puikus 2 įrašas

    Atsakykite FIXOCONN
  3.   Mistogas @ N sakė
    prieš 12 metai

    Visada naudojau pirmąjį, nes nežinau awk, bet turėsiu to išmokti

    katė / var / log / auth * | grep Nepavyko

    Čia, kur aš dirbu, Kubos „Univ de Oriente“ Matematikos-skaičiavimo fakultete, turime „mažų įsilaužėlių“ fabriką, kurie nuolat sugalvoja dalykus, kurių jiems nereikėtų, o aš turiu būti 8 akimis. „Ssh“ tema yra viena iš jų. Ačiū už arbatpinigių bičiulį.

    Atsakyti „Mystog @ N“
  4.   Hugo sakė
    prieš 12 metai

    Viena abejonė: jei serveris yra nukreiptas į internetą, tačiau „iptables“ sistemoje ssh prievadas atidaromas tik tam tikriems vidiniams MAC adresams (tarkime, iš biuro), bandymai pasiekti likusius vidinius adresus pasiektų autentifikavimo žurnalą ir (arba) išorinis? Nes man kyla abejonių.

    Atsakykite Hugo
    1.    KZKG ^ Gaara sakė
      prieš 12 metai

      Žurnale išsaugomos tik užkardos leidžiamos užklausos, tačiau sistema jas atmeta arba patvirtina (turiu omenyje prisijungimą).
      Jei užkarda neleidžia perduoti SSH užklausų, niekas nepasieks žurnalo.

      Tai aš nebandžiau, bet ateik ... Manau, kad taip turi būti 😀

      Atsakyti KZKG ^ Gaara
  5.   Trinti sakė
    prieš 10 metai

    grep -i nepavyko /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t VARTOTOJAS:» $ 9 «\ t IŠ:» $ 11}'
    rgrep -i nepavyko / var / log / (perkelia aplankus) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t VARTOTOJAS:» $ 9 «\ t IŠ:» $ 11}'

    Atsakyti Bray
    1.    Trinti sakė
      prieš 10 metai

      centais-redatais ... .. ir kt. ...
      / var / log / secure

      Atsakyti Bray