Hoe u kunt weten welke mislukte SSH-pogingen onze server heeft gehad

Niet lang geleden legde ik het uit hoe te weten welke IP's zijn verbonden via SSH, maar... wat als de gebruikersnaam of het wachtwoord onjuist was en er geen verbinding werd gemaakt?

Ik bedoel, als iemand probeert te achterhalen hoe SSH naar onze computer of server kan, moeten we dat echt weten, toch?

Daarvoor zullen we dezelfde procedure volgen als in het vorige bericht, we zullen het authenticatielogboek filteren, maar deze keer met een ander filter:

cat /var/log/auth* | grep Failed

Ze zouden de bovenstaande opdracht moeten uitvoeren als wortelof met sudo om het te doen met administratieve machtigingen.

Ik laat je een screenshot achter van hoe het eruit ziet:

Zoals je kunt zien, toont het me de maand, dag en tijd van elke mislukte poging, evenals de gebruiker waarmee ze probeerden in te loggen en het IP-adres van waaruit ze probeerden in te loggen.

Maar dit kan wel wat meer geregeld worden, daar maken we gebruik van awk om het resultaat iets te verbeteren:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Het bovenstaande is ÉÉN regel.

Hier zien we hoe het eruit zou zien:

Deze regel die ik je net heb laten zien, moet je niet allemaal uit je hoofd leren, je kunt een alias voor haar is het resultaat echter hetzelfde als bij de eerste regel, alleen iets overzichtelijker.

Ik weet dat dit voor velen niet nuttig zal zijn, maar voor degenen onder ons die servers beheren, weet ik dat het ons een aantal interessante gegevens zal laten zien hehe.

groeten


8 reacties, laat de jouwe achter

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   hackloper775 zei

    Zeer goed gebruik van pijpen

    groeten

    1.    KZKG ^ Gaara zei

      Bedankt

  2.   FIXOCONN zei

    Uitstekend de 2 berichten

  3.   Mystog @ N zei

    Ik gebruikte altijd de eerste, want ik weet niet awk, maar ik zal het moeten leren

    kat /var/log/auth* | grep mislukt

    Hier waar ik werk, op de wiskunde-computerfaculteit van de Univ de Oriente in Cuba, hebben we een fabriek van kleine hackers, die constant dingen verzinnen die niet mogen en ik moet met 8 ogen zijn. Het ssh-probleem is er een van. Bedankt voor de tip kerel.

  4.   Hugo zei

    Eén vraag: als iemand een server heeft die naar het internet is gericht, maar in iptables opent men de ssh-poort alleen voor bepaalde interne MAC-adressen (bijvoorbeeld vanuit een kantoor), dan zouden toegangspogingen van de rest van de interne adressen het authenticatielogboek en/of externe ? Omdat ik zo mijn twijfels heb.

    1.    KZKG ^ Gaara zei

      In het logboek worden alleen de verzoeken opgeslagen die door de firewall zijn toegestaan, maar die door het systeem als zodanig zijn geweigerd of goedgekeurd (ik bedoel de login).
      Als de firewall SSH-verzoeken niet doorlaat, wordt er niets gelogd.

      Ik heb dit niet geprobeerd, maar kom op... ik denk dat het zo zou moeten zijn 😀

  5.   Balken zei

    grep -i mislukt /var/log/auth.log | awk '{print $2 «-» $1 » » $3 «\t GEBRUIKER: » $9 «\t VAN: » $11}'
    rgrep -i mislukt /var/log/(logroteert mappen) | awk '{print $2 «-» $1 » » $3 «\t GEBRUIKER: » $9 «\t VAN: » $11}'

    1.    Balken zei

      in centos-redhat…..etc……
      / Var / log / secure