Како знати које је неуспешне ССХ покушаје имао наш сервер

Alejandro (a.k.a KZKG^Gaara)

КСНУМКС минута

Недавно сам објаснио како знати које ИП-ове је повезао ССХ, али ... шта ако су корисничко име или лозинка били нетачни и нису се повезали?

Другим речима, ако неко покушава да погоди како да приступимо нашем рачунару или серверу преко ССХ-а, то заиста морамо знати, зар не?

За то ћемо урадити исти поступак као у претходном посту, филтрираћемо евиденцију аутентификације, али овог пута, са другим филтером:

cat /var/log/auth* | grep Failed

Требали би покренути горњу команду као коренили са судо да то уради уз административне дозволе.

Остављам снимак екрана како то изгледа:

Као што видите, приказује ми месец, дан и време сваког неуспелог покушаја, као и корисника са којим су покушали да уђу и ИП адресу са које су покушали да приступе.

Али ово се може договорити мало више, ми ћемо искористити авк да мало поправимо резултат:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Изнад је ЈЕДНА линија.

Овде видимо како би то изгледало:

Овај ред који сам вам управо показао не треба памтити напамет, можете створити звани за њу је резултат исти као и код прве линије, само мало организованији.

Ово знам да ће многима бити корисно, али за нас који управљамо серверима знам да ће нам показати неке занимљиве податке хехе.

поздрави


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   хацклопер775 дијо
    чини КСНУМКС година

    Веома добра употреба цеви

    поздрави

    Одговор на хацклопер775
    1.    КЗКГ ^ Гаара дијо
      чини КСНУМКС година

      Хвала

      Одговорити на КЗКГ ^ Гаара
  2.   ФИКСОЦОНН дијо
    чини КСНУМКС година

    Одлично 2 пост

    Одговорите на ФИКСОЦОНН
  3.   Мистог @ Н. дијо
    чини КСНУМКС година

    Увек сам користио прву, јер не знам авк, али мораћу да је научим

    цат / вар / лог / аутх * | греп није успео

    Овде, где радим, на Математичко-рачунском факултету на Универзитету Ориенте на Куби имамо фабрику „малих хакера“ који непрестано измишљају ствари које не би смели, а ја морам да будем са 8 очију. Тема ссх је једна од њих. Хвала за тип, човече.

    Одговорите на Мистог @ Н.
  4.   Хуго дијо
    чини КСНУМКС година

    Једно питање: ако неко има сервер окренут ка Интернету, али у иптаблес-у се отвара ссх порт само за одређене интерне МАЦ адресе (рецимо из канцеларије), покушаји приступа са осталих унутрашњих адреса доспели би у дневник аутентикације и / или спољни? Јер ја сумњам.

    Одговорите Хугу
    1.    КЗКГ ^ Гаара дијо
      чини КСНУМКС година

      У евиденцији се чувају само захтеви које дозвољава заштитни зид, али их систем одбија или одобрава (мислим на пријаву).
      Ако заштитни зид не дозволи пролазак ССХ захтева, ништа неће доћи до дневника.

      Ово нисам пробао, али хајде ... мислим да мора бити овако 😀

      Одговорити на КЗКГ ^ Гаара
  5.   Браи дијо
    чини КСНУМКС година

    греп -и није успео /вар/лог/аутх.лог | авк '{принт $ 2 «-» $ 1 »» $ 3 «\ т КОРИСНИК:» $ 9 «\ т ОД:» $ 11}'
    ргреп -и није успео / вар / лог / (пријављује фасцикле) | авк '{принт $ 2 «-» $ 1 »» $ 3 «\ т КОРИСНИК:» $ 9 «\ т ОД:» $ 11}'

    Одговорите Браи-у
    1.    Браи дијо
      чини КСНУМКС година

      у центос-редхат ... .. итд ...
      / вар / лог / сецуре

      Одговорите Браи-у