Cum să știm ce încercări SSH nereușite a avut serverul nostru

Alejandro (a.k.a KZKG^Gaara)

Minut 1

Nu cu mult timp în urmă am explicat cum să știți ce IP-uri au fost conectate de SSH, dar ... ce se întâmplă dacă numele de utilizator sau parola erau incorecte și nu s-au conectat?

Cu alte cuvinte, dacă există cineva care încearcă să ghicească cum să acceseze computerul sau serverul nostru prin SSH, trebuie să știm sau nu?

Pentru aceasta vom face aceeași procedură ca în postarea anterioară, vom filtra jurnalul de autentificare, dar de data aceasta, cu un filtru diferit:

cat /var/log/auth* | grep Failed

Ar trebui să ruleze comanda de mai sus ca rădăcină, sau cu sudo să o facă cu permisiuni administrative.

Vă las o captură de ecran cu cum arată:

După cum puteți vedea, îmi arată luna, ziua și ora fiecărei încercări nereușite, precum și utilizatorul cu care au încercat să intre și IP-ul de la care au încercat să acceseze.

Dar acest lucru poate fi aranjat puțin mai mult, vom folosi Wow pentru a îmbunătăți puțin rezultatul:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Cele de mai sus sunt O singură linie.

Aici vedem cum ar arăta:

Această linie pe care tocmai v-am arătat-o ​​nu ar trebui să o memorați pe toate, puteți crea o alias pentru ea, însă, rezultatul este același ca la prima linie, doar puțin mai organizată.

Știu că nu mulți îl vor găsi util, dar pentru cei dintre noi care gestionăm servere știu că ne va arăta câteva date interesante hehe.

În ceea ce priveşte


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   hackloper775 el a spus
    hace Ani 12

    Utilizare foarte bună a țevilor

    În ceea ce priveşte

    Răspunde la hackloper775
    1.    KZKG ^ Gaara el a spus
      hace Ani 12

      Mulțumesc

      Răspunde la KZKG ^ Gaara
  2.   FIXOCONN el a spus
    hace Ani 12

    Excelent postarea 2

    Răspunde la FIXOCONN
  3.   Mystog @ N el a spus
    hace Ani 12

    Am folosit-o întotdeauna pe prima, pentru că nu știu awk, dar va trebui să o învăț

    cat / var / log / auth * | grep nu a reușit

    Aici, unde lucrez, la Facultatea de Matematică-Calculatoare de la Univ de Oriente din Cuba, avem o fabrică de „mici hackeri” care inventează în mod constant lucruri pe care nu ar trebui și trebuie să fiu cu 8 ochi. Tema ssh este una dintre ele. Mulțumesc pentru tip tip.

    Răspunde la Mystog @ N
  4.   Hugo el a spus
    hace Ani 12

    O îndoială: dacă cineva are un server orientat spre internet, dar în iptables se deschide portul ssh doar pentru anumite adrese MAC interne (să zicem de la un birou), încercările de acces din restul adreselor interne ar ajunge la jurnalul de autentificare și / sau extern? Pentru că am îndoielile mele.

    Răspunde lui Hugo
    1.    KZKG ^ Gaara el a spus
      hace Ani 12

      În jurnal, ceea ce este salvat este doar solicitările permise de firewall, dar respinse sau aprobate de sistem ca atare (mă refer la autentificare).
      Dacă paravanul de protecție nu permite trecerea solicitărilor SSH, nimic nu va ajunge în jurnal.

      Nu l-am încercat, dar hai ... cred că trebuie să fie așa 😀

      Răspunde la KZKG ^ Gaara
  5.   Pisa el a spus
    hace Ani 10

    grep -i a eșuat /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UTILIZATOR:» $ 9 «\ t FROM:» $ 11}'
    rgrep -i a eșuat / var / log / (înregistrează foldere) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UTILIZATOR:» $ 9 «\ t FROM:» $ 11}'

    Răspunde lui Bray
    1.    Pisa el a spus
      hace Ani 10

      în centos-redhat… ..etc ……
      / var / log / secure

      Răspunde lui Bray