Hur vet jag vilka misslyckade SSH-försök vår server har haft

Alejandro (a.k.a KZKG^Gaara)

1 minut

För inte så länge sedan förklarade jag hur man vet vilka IP-adresser som har anslutits av SSH, men ... tänk om användarnamnet eller lösenordet var felaktigt och de inte anslöt?

Med andra ord, om det finns någon som försöker gissa hur man kommer åt vår dator eller server via SSH, behöver vi verkligen veta eller inte?

För det kommer vi att göra samma procedur som i föregående inlägg, vi filtrerar autentiseringsloggen men den här gången med ett annat filter:

cat /var/log/auth* | grep Failed

De ska köra ovanstående kommando som rot, eller med sudo att göra det med administrativa behörigheter.

Jag lämnar en skärmdump av hur den ser ut:

Som du kan se visar det mig månad, dag och tid för varje misslyckat försök, liksom användaren som de försökte gå in med och IP-adressen från vilken de försökte komma åt.

Men detta kan ordnas lite mer, vi kommer att använda awk för att förbättra resultatet lite:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Ovanstående är EN rad.

Här ser vi hur det skulle se ut:

Den här raden som jag just visade för dig borde inte lagras i minnet, du kan skapa en alias för henne är resultatet detsamma som med första raden, bara lite mer organiserad.

Detta vet jag inte kommer att vara användbart för många, men för de av oss som hanterar servrar vet jag att det kommer att visa oss några intressanta data hehe.

hälsningar


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   hackloper775 sade
    sedan 12 år

    Mycket bra användning av rör

    hälsningar

    Svara på hackloper775
    1.    KZKG ^ Gaara sade
      sedan 12 år

      Tack

      Svara på KZKG ^ Gaara
  2.   FIXOCONN sade
    sedan 12 år

    Utmärkt 2-inlägget

    Svara på FIXOCONN
  3.   Mystog @ N sade
    sedan 12 år

    Jag använde alltid den första, för jag känner inte ok, men jag måste lära mig det

    cat / var / log / auth * | grep misslyckades

    Här där jag arbetar, vid fakulteten för matematik-databehandling vid Univ de Oriente på Kuba, har vi en fabrik av "små hackare" som ständigt uppfinner saker som de inte borde och jag måste vara med 8 ögon. Ssh-temat är en av dem. Tack för tipset killen.

    Svara Mystog @ N
  4.   Hugo sade
    sedan 12 år

    En fråga: om man har en server mot internet men i iptables öppnar man ssh-porten endast för vissa interna MAC-adresser (låt oss säga från ett kontor), åtkomstförsök från resten av de interna adresserna når autentiseringsloggen och / eller externt? Eftersom jag tvivlar.

    Svara Hugo
    1.    KZKG ^ Gaara sade
      sedan 12 år

      I loggen sparas bara de begäranden som tillåts av brandväggen, men nekas eller godkänns av systemet som sådant (jag menar inloggningen).
      Om brandväggen inte tillåter SSH-förfrågningar att passera kommer ingenting att nå loggen.

      Detta har jag inte försökt, men kom igen ... Jag tror att det måste vara så här 😀

      Svara på KZKG ^ Gaara
  5.   Bray sade
    sedan 10 år

    grep -i misslyckades /var/log/auth.log | awk '{skriv ut $ 2 «-» $ 1 »» $ 3 «\ t ANVÄNDARE:» $ 9 «\ t FRÅN:» $ 11}'
    rgrep -i misslyckades / var / log / (logrotates mappar) | awk '{skriv ut $ 2 «-» $ 1 »» $ 3 «\ t ANVÄNDARE:» $ 9 «\ t FRÅN:» $ 11}'

    Svara Bray
    1.    Bray sade
      sedan 10 år

      i centos-redhat ... ..etc ……
      / Var / log / säkra

      Svara Bray