Kako vedeti, kakšne neuspešne poskuse SSH je imel naš strežnik

Alejandro (a.k.a KZKG^Gaara)

1 minute

Nedolgo nazaj sem razložil kako vedeti, katere IP-je je povezal SSH, ampak ... kaj pa če uporabniško ime ali geslo nista bila pravilna in se nista povezala?

Z drugimi besedami, če kdo poskuša uganiti, kako dostopati do našega računalnika ali strežnika prek SSH, to res moramo vedeti ali ne?

Za to bomo izvedli enak postopek kot v prejšnji objavi, filtrirali bomo dnevnik preverjanja pristnosti, vendar tokrat z drugačnim filtrom:

cat /var/log/auth* | grep Failed

Zagnali bi zgornji ukaz kot korenali z sudo to storiti z upravnimi dovoljenji.

Pustim posnetek zaslona, ​​kako izgleda:

Kot vidite, mi prikazuje mesec, dan in uro vsakega neuspešnega poskusa, pa tudi uporabnika, s katerim je poskušal vstopiti, in IP, s katerega je poskušal dostopati.

Ampak to je mogoče še malo urediti, bomo uporabili vau da nekoliko izboljšate rezultat:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Zgoraj je ENA vrstica.

Tu vidimo, kako bi bilo videti:

V tej vrstici, ki sem vam jo pravkar pokazal, si ne smete zapomniti vseh, lahko ustvarite alias zanjo je rezultat enak kot pri prvi vrstici, le malo bolj organiziran.

To vem, da mnogim ne bo koristilo, toda za tiste, ki upravljamo s strežniki, vem, da nam bo pokazalo nekaj zanimivih podatkov hehe.

pozdrav


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   hekloper775 je dejal
    nazaj 12 let

    Zelo dobra uporaba cevi

    pozdrav

    Odgovorite na hackloper775
    1.    KZKG ^ Gaara je dejal
      nazaj 12 let

      Hvala

      Odgovorite na KZKG ^ Gaara
  2.   FIXOCONN je dejal
    nazaj 12 let

    Odlično 2 post

    Odgovorite na FIXOCONN
  3.   Mystog @ N je dejal
    nazaj 12 let

    Vedno sem uporabljal prvega, ker awk-a ne poznam, vendar se ga bom moral naučiti

    cat / var / log / auth * | grep ni uspel

    Tu, kjer delam, na Fakulteti za matematiko-računalništvo Univ de Oriente na Kubi imamo tovarno "malih hekerjev", ki si nenehno izmišljajo stvari, ki jih ne bi smeli in moram biti z 8 očmi. Tema ssh je ena izmed njih. Hvala za tip tip.

    Odgovorite na Mystog @ N
  4.   Hugo je dejal
    nazaj 12 let

    Eno vprašanje: če ima strežnik obrnjen proti internetu, vendar v iptables odpre vrata ssh samo za določene notranje naslove MAC (recimo iz pisarne), bi poskusi dostopa s preostalih notranjih naslovov prišli do dnevnika preverjanja pristnosti in / ali zunanji? Ker dvomim.

    Odgovorite Hugu
    1.    KZKG ^ Gaara je dejal
      nazaj 12 let

      V dnevniku se shranijo le zahteve, ki jih dovoli požarni zid, vendar jih sistem kot take zavrne ali odobri (mislim na prijavo).
      Če požarni zid ne dovoli prenosa zahtev SSH, do dnevnika ne bo prišlo nič.

      Tega nisem poskusil, ampak daj no ... Mislim, da mora biti tako 😀

      Odgovorite na KZKG ^ Gaara
  5.   Bray je dejal
    nazaj 10 let

    grep -i ni uspel /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UPORABNIK:» $ 9 «\ t OD:» $ 11}'
    rgrep -i ni uspel / var / log / (prijavlja mape) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t UPORABNIK:» $ 9 «\ t OD:» $ 11}'

    Odgovorite Brayu
    1.    Bray je dejal
      nazaj 10 let

      v centos-redhat ... .. itd ......
      / var / log / varno

      Odgovorite Brayu