Kā uzzināt, kādi neveiksmīgi SSH mēģinājumi ir bijuši mūsu serverim

Alejandro (a.k.a KZKG^Gaara)

1 minūti

Pirms neilga laika es paskaidroju kā uzzināt, kurus IP ir savienojis SSH, bet ... kā būtu, ja lietotājvārds vai parole būtu nepareiza un viņi nepieslēgtos?

Citiem vārdiem sakot, ja kāds mēģina uzminēt, kā piekļūt mūsu datoram vai serverim, izmantojot SSH, mums tas tiešām ir jāzina, vai ne?

Šim nolūkam mēs darīsim to pašu procedūru kā iepriekšējā ziņojumā, filtrēsim autentifikācijas žurnālu, bet šoreiz ar citu filtru:

cat /var/log/auth* | grep Failed

Viņiem vajadzētu izpildīt iepriekš minēto komandu, piemēram, sakne, vai ar sudo to izdarīt ar administratīvām atļaujām.

Es atstāju ekrānuzņēmumu par tā izskatu:

Kā redzat, tas man parāda katra neveiksmīgā mēģinājuma mēnesi, dienu un laiku, kā arī lietotāju, ar kuru viņi mēģināja ievadīt, un IP, no kura viņi mēģināja piekļūt.

Bet to var noorganizēt mazliet vairāk, mēs to izmantosim awk lai mazliet uzlabotu rezultātu:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Iepriekš minētā ir VIENA līnija.

Šeit mēs redzam, kā tas izskatītos:

Šo rindu, kuru es tikko parādīju, nevajadzētu atcerēties visu, jūs varat izveidot aizstājvārds viņai rezultāts ir tāds pats kā ar pirmo līniju, tikai nedaudz sakārtotāks.

Tas, ko es zinu, daudziem nebūs noderīgs, bet mums, kas pārvalda serverus, es zinu, ka tas mums parādīs interesantus datus hehe.

Sveicieni


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   hackloper775 teica
    dara 12 gadi

    Ļoti labi izmanto caurules

    Sveicieni

    Atbildēt hackloper775
    1.    KZKG ^ Gaara teica
      dara 12 gadi

      Paldies

      Atbildēt KZKG ^ Gaara
  2.   FIKSONA teica
    dara 12 gadi

    Izcils 2. ieraksts

    Atbildēt FIXOCONN
  3.   Mistogs @ N teica
    dara 12 gadi

    Es vienmēr izmantoju pirmo, jo es nezinu awk, bet man tas būs jāmācās

    cat / var / log / auth * | grep neizdevās

    Šeit, kur es strādāju, Matemātikas-skaitļošanas fakultātē Univ de Oriente Kubā, mums ir "mazo hakeru" rūpnīca, kas pastāvīgi izdomā lietas, kurām nevajadzētu, un man jābūt ar 8 acīm. Ssh tēma ir viena no tām. Paldies par padomu puisīti.

    Atbildēt Mystog @ N
  4.   Hugo teica
    dara 12 gadi

    Viens jautājums: ja kādam ir serveris, kas atrodas internetā, bet iptables atver ssh portu tikai noteiktām iekšējām MAC adresēm (pieņemsim, ka no biroja), piekļuves mēģinājumi no pārējām iekšējām adresēm sasniegtu autentifikācijas žurnālu un / vai ārējs? Tāpēc, ka man ir šaubas.

    Atbildēt Hugo
    1.    KZKG ^ Gaara teica
      dara 12 gadi

      Žurnālā tiek saglabāti tikai ugunsmūra atļauti pieprasījumi, bet sistēma tos noraida vai apstiprina (es domāju pieteikšanos).
      Ja ugunsmūris neļauj nodot SSH pieprasījumus, nekas nesasniegs žurnālu.

      To es neesmu mēģinājis, bet nāc ... es domāju, ka tam jābūt šādam 😀

      Atbildēt KZKG ^ Gaara
  5.   Pūtiens teica
    dara 10 gadi

    grep -i neizdevās /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t LIETOTĀJS:» $ 9 «\ t NO:» $ 11}'
    rgrep -i neizdevās / var / log / (mapes pārvieto) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t LIETOTĀJS:» $ 9 «\ t NO:» $ 11}'

    Atbildiet Bray
    1.    Pūtiens teica
      dara 10 gadi

      centos-redhatā ... .. utt.
      / var / log / Secure

      Atbildiet Bray