Hvordan vite hvilke mislykkede SSH-forsøk serveren vår har hatt

Alejandro (a.k.a KZKG^Gaara)

1 minutt

For ikke lenge siden forklarte jeg hvordan vite hvilke IP-er som er koblet til av SSH, men ... hva om brukernavnet eller passordet var feil og de ikke koblet seg sammen?

Med andre ord, hvis det er noen som prøver å gjette hvordan vi får tilgang til datamaskinen eller serveren vår via SSH, trenger vi virkelig å vite, eller ikke?

For det vil vi gjøre samme prosedyre som i forrige innlegg, vi filtrerer godkjenningsloggen, men denne gangen med et annet filter:

cat /var/log/auth* | grep Failed

De bør kjøre kommandoen ovenfor som root, eller med sudo å gjøre det med administrative tillatelser.

Jeg legger igjen et skjermbilde av hvordan det ser ut:

Som du kan se, viser det meg måned, dag og klokkeslett for hvert mislykkede forsøk, samt brukeren de prøvde å gå inn med og IP-en som de prøvde å få tilgang til.

Men dette kan ordnes litt mer, vil vi bruke awk for å forbedre resultatet litt:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Ovennevnte er EN linje.

Her ser vi hvordan det vil se ut:

Denne linjen som jeg nettopp viste deg, bør ikke huskes, du kan lage en alias for henne er resultatet det samme som med første linje, bare litt mer organisert.

Dette vet jeg ikke vil være nyttig for mange, men for de av oss som administrerer servere vet jeg at det vil vise oss noen interessante data hehe.

Hilsen


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   hackloper775 sa
    hace 12 år

    Meget god bruk av rør

    Hilsen

    Svar på hackloper775
    1.    KZKG ^ Gaara sa
      hace 12 år

      Takk

      Svar på KZKG ^ Gaara
  2.   FIXOCONN sa
    hace 12 år

    Utmerket 2-innlegget

    Svar på FIXOCONN
  3.   Mystog @ N sa
    hace 12 år

    Jeg brukte alltid den første, fordi jeg ikke vet noe, men jeg må lære meg det

    cat / var / log / auth * | grep mislyktes

    Her hvor jeg jobber, ved fakultetet for matematikk-databehandling ved Univ de Oriente på Cuba, har vi en fabrikk med "små hackere" som hele tiden oppfinner ting som de ikke burde, og jeg må være med 8 øyne. Ssh-temaet er en av dem. Takk for tipset fyren.

    Svar på Mystog @ N
  4.   Hugo sa
    hace 12 år

    Ett spørsmål: hvis man har en server som vender mot internett, men i iptables, åpner man ssh-porten bare for visse interne MAC-adresser (la oss si fra et kontor), tilgangsforsøk fra resten av de interne adressene vil nå autentiseringsloggen og / eller utvendig? Fordi jeg er i tvil.

    Svar på Hugo
    1.    KZKG ^ Gaara sa
      hace 12 år

      I loggen er det lagret bare forespørslene som er tillatt av brannmuren, men nektet eller godkjent av systemet som sådan (jeg mener påloggingen).
      Hvis brannmuren ikke tillater SSH-forespørsler å passere, kommer ingenting til loggen.

      Dette har jeg ikke prøvd, men kom igjen ... Jeg tror det må være slik 😀

      Svar på KZKG ^ Gaara
  5.   Bray sa
    hace 10 år

    grep -i mislyktes /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t BRUKER:» $ 9 «\ t FRA:» $ 11}'
    rgrep -i mislyktes / var / log / (logrotates mapper) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t BRUKER:» $ 9 «\ t FRA:» $ 11}'

    Svar til Bray
    1.    Bray sa
      hace 10 år

      i centos-redhat… ..etc ……
      / var / logg / sikker

      Svar til Bray