Ako zistiť, aké neúspešné pokusy o SSH mal náš server

Alejandro (a.k.a KZKG^Gaara)

1 minút

Nedávno som to vysvetlil ako zistiť, ktoré adresy IP boli spojené pomocou SSH, ale ... čo ak bolo používateľské meno alebo heslo nesprávne a nepripojili sa?

Inými slovami, ak sa niekto pokúša uhádnuť, ako získať prístup k nášmu počítaču alebo serveru prostredníctvom protokolu SSH, musíme to skutočne vedieť, alebo nie?

Za týmto účelom urobíme rovnaký postup ako v predchádzajúcom príspevku, vyfiltrujeme autentifikačný protokol, ale tentokrát s iným filtrom:

cat /var/log/auth* | grep Failed

Mali by spustiť vyššie uvedený príkaz ako koreňalebo pomocou sudo urobiť to s oprávneniami správcu.

Nechávam screenshot toho, ako to vyzerá:

Ako vidíte, zobrazuje mi mesiac, deň a čas každého neúspešného pokusu, ako aj používateľa, s ktorým sa pokúšali zadať, a adresu IP, z ktorej sa pokúšali získať prístup.

Ale toto sa dá zariadiť trochu viac, použijeme Wow trochu vylepšiť výsledok:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Vyššie uvedené je JEDEN riadok.

Tu vidíme, ako by to vyzeralo:

Tento riadok, ktorý som vám práve ukázal, by si nemal všetko pamätať, môžete vytvoriť a prezývka pre ňu je však výsledok rovnaký ako pri prvom riadku, len o niečo organizovanejší.

Viem, že len málokto to bude považovať za užitočné, ale pre tých z nás, ktorí spravujú servery, viem, že nám ukáže niekoľko zaujímavých údajov.

pozdravy


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.

  1.   hackloper775 dijo
    hace 12 rokov

    Veľmi dobré použitie rúr

    pozdravy

    Odpovedať hackloper775
    1.    KZKG ^ Gaara dijo
      hace 12 rokov

      Ďakujem vám

      Odpovedať KZKG ^ Gaara
  2.   FIXOCONN dijo
    hace 12 rokov

    Vynikajúci 2 príspevok

    Odpovedajte na FIXOCONN
  3.   Mystog @ N dijo
    hace 12 rokov

    Vždy som použil prvý, pretože neviem awk, ale budem sa to musieť naučiť

    mačka / var / log / auth * | grep zlyhal

    Tu, kde pracujem, na Fakulte matematiky a výpočtov na Univ de Oriente na Kube máme továreň na „malých hackerov“, ktorí neustále vymýšľajú veci, ktoré by nemali a ja musím byť s 8 očami. Téma ssh je jednou z nich. Ďakujem za tip vole.

    Odpovedať Mystog @ N
  4.   Hugo dijo
    hace 12 rokov

    Jedna pochybnosť: ak má server smerujúci k internetu, ale v iptables otvorí ssh port iba pre určité interné MAC adresy (povedzme z kancelárie), pokusy o prístup zo zvyšku interných adries by sa dostali do autentifikačného protokolu a / alebo externé? Pretože mám svoje pochybnosti.

    Odpovedať Hugovi
    1.    KZKG ^ Gaara dijo
      hace 12 rokov

      V protokole sa ukladajú iba požiadavky povolené firewallom, ktoré však systém ako taký zamietol alebo schválil (mám na mysli prihlásenie).
      Ak brána firewall neumožňuje splnenie požiadaviek SSH, do protokolu sa nedostane nič.

      Toto som neskúšal, ale poď ... Myslím, že to musí byť takto 😀

      Odpovedať KZKG ^ Gaara
  5.   Hýkání dijo
    hace 10 rokov

    grep -i zlyhalo /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽÍVATEĽ:» $ 9 «\ t OD:» $ 11}'
    rgrep -i zlyhalo / var / log / (logrotuje priečinky) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UŽÍVATEĽ:» $ 9 «\ t OD:» $ 11}'

    Odpovedať Brayovi
    1.    Hýkání dijo
      hace 10 rokov

      v centos-redhat ... .. atď ...
      / Var / log / bezpečné

      Odpovedať Brayovi