Jak dowiedzieć się, jakie nieudane próby SSH miał nasz serwer

Alejandro (a.k.a KZKG^Gaara)

1 minut

Niedawno wyjaśniłem jak sprawdzić, które adresy IP zostały połączone przez SSH, ale ... co się stanie, jeśli nazwa użytkownika lub hasło są nieprawidłowe i nie połączyli się?

Innymi słowy, jeśli ktoś próbuje zgadnąć, jak uzyskać dostęp do naszego komputera lub serwera przez SSH, naprawdę musimy wiedzieć, czy nie?

W tym celu wykonamy tę samą procedurę, co w poprzednim poście, przefiltrujemy dziennik uwierzytelniania, ale tym razem z innym filtrem:

cat /var/log/auth* | grep Failed

Powinni uruchomić powyższe polecenie jak korzeń, lub z sudo aby to zrobić z uprawnieniami administracyjnymi.

Zostawiam zrzut ekranu, jak to wygląda:

Jak widać, pokazuje mi miesiąc, dzień i godzinę każdej nieudanej próby, a także użytkownika, z którym próbowali wejść, i adres IP, z którego próbowali uzyskać dostęp.

Ale to można ułożyć nieco więcej, użyjemy Awk aby trochę poprawić wynik:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Powyżej jest JEDNA linia.

Tutaj widzimy, jak by to wyglądało:

Ta linia, którą właśnie pokazałem, nie powinna być zapamiętywana na pamięć, możesz utworzyć plik alias dla niej i tak wynik jest taki sam jak w przypadku pierwszej linii, tylko trochę bardziej zorganizowany.

Wiem, że nie przyda się to wielu, ale dla tych z nas, którzy zarządzają serwerami, wiem, że pokaże nam kilka interesujących danych hehe.

pozdrowienia


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   hacker775 powiedział
    temu 12 roku

    Bardzo dobre wykorzystanie rur

    pozdrowienia

    Odpowiedz hackloper775
    1.    KZKG ^ Gaara powiedział
      temu 12 roku

      Dziękuję

      Odpowiedz KZKG ^ Gaara
  2.   FIXOCON powiedział
    temu 12 roku

    Doskonały 2 post

    Odpowiedz na FIXOCONN
  3.   Mystog @ N powiedział
    temu 12 roku

    Zawsze korzystałem z pierwszego, ponieważ nie znam awk, ale będę musiał się go nauczyć

    cat / var / log / auth * | grep nie powiodło się

    Tutaj, gdzie pracuję, na Wydziale Matematyki i Obliczeń Univ de Oriente na Kubie, mamy fabrykę „małych hakerów”, którzy nieustannie wymyślają rzeczy, których nie powinni i muszę mieć 8 oczu. Jednym z nich jest motyw ssh. Dzięki za cynk.

    Odpowiedz Mystog @ N
  4.   Hugo powiedział
    temu 12 roku

    Jedna wątpliwość: jeśli ktoś ma serwer skierowany do Internetu, ale w iptables otwiera port ssh tylko dla niektórych wewnętrznych adresów MAC (powiedzmy z biura), próby dostępu z pozostałych adresów wewnętrznych dotrą do dziennika uwierzytelniania i / czy zewnętrzne? Ponieważ mam wątpliwości.

    Odpowiedz Hugo
    1.    KZKG ^ Gaara powiedział
      temu 12 roku

      W dzienniku zapisywane są tylko żądania dopuszczone przez firewall, ale odrzucone lub zatwierdzone przez system jako taki (mam na myśli logowanie).
      Jeśli zapora nie zezwala na przekazywanie żądań SSH, nic nie trafi do dziennika.

      Tego nie próbowałem, ale daj spokój ... Myślę, że tak musi być 😀

      Odpowiedz KZKG ^ Gaara
  5.   Ryczeć powiedział
    temu 10 roku

    grep -i nie powiodło się /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŻYTKOWNIK:» 9 $ «\ t OD:» $ 11}'
    rgrep -i nie powiodło się / var / log / (logrotates foldery) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŻYTKOWNIK:» 9 $ «\ t OD:» $ 11}'

    Odpowiedz Bray
    1.    Ryczeć powiedział
      temu 10 roku

      w centos-redhat… ..etc ……
      / var / log / secure

      Odpowiedz Bray