จะรู้ได้อย่างไรว่า SSH พยายามที่เซิร์ฟเวอร์ของเราทำไม่สำเร็จ

Alejandro (a.k.a KZKG^Gaara)

1 นาที

ไม่นานมานี้ฉันได้อธิบาย จะรู้ได้อย่างไรว่า SSH เชื่อมต่อกับ IP ใดแต่ ... จะเกิดอะไรขึ้นหากชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้องและไม่ได้เชื่อมต่อ?

กล่าวอีกนัยหนึ่งถ้ามีคนพยายามเดาวิธีเข้าถึงคอมพิวเตอร์หรือเซิร์ฟเวอร์ของเราผ่าน SSH เราจำเป็นต้องรู้จริง ๆ ใช่ไหม?

สำหรับสิ่งนั้นเราจะทำตามขั้นตอนเดียวกันกับในโพสต์ก่อนหน้าเราจะกรองบันทึกการตรวจสอบสิทธิ์ แต่คราวนี้ด้วยตัวกรองที่แตกต่างกัน:

cat /var/log/auth* | grep Failed

พวกเขาควรเรียกใช้คำสั่งด้านบนเช่น รากหรือด้วย sudo โดยใช้สิทธิ์ระดับผู้ดูแลระบบ

ฉันทิ้งภาพหน้าจอไว้ว่ามีลักษณะอย่างไร:

อย่างที่คุณเห็นมันแสดงให้ฉันเห็นเดือนวันและเวลาของความพยายามที่ล้มเหลวแต่ละครั้งตลอดจนผู้ใช้ที่พยายามป้อนและ IP ที่พวกเขาพยายามเข้าถึง

แต่สามารถจัดได้อีกเล็กน้อยเราจะใช้ awk เพื่อปรับปรุงผลลัพธ์เล็กน้อย:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

ด้านบนคือหนึ่งบรรทัด

เรามาดูกันว่าจะเป็นอย่างไร:

บรรทัดนี้ที่ฉันเพิ่งแสดงให้คุณเห็นว่าคุณไม่ควรจดจำทั้งหมดคุณสามารถสร้างไฟล์ นามแฝง สำหรับเธอผลลัพธ์ก็เหมือนกับบรรทัดแรกเพียงแค่จัดระเบียบอีกเล็กน้อย

สิ่งนี้ฉันรู้ว่าจะไม่เป็นประโยชน์สำหรับหลาย ๆ คน แต่สำหรับพวกเราที่จัดการเซิร์ฟเวอร์ฉันรู้ว่ามันจะแสดงข้อมูลที่น่าสนใจให้เราได้ฮิฮิ

ความนับถือ


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   แฮ็กเกอร์ 775 dijo
    มาแล้ว ปี 12

    ใช้ท่อได้ดีมาก

    ความนับถือ

    ตอบกลับ hackloper775
    1.    KZKG ^ กาอาระ dijo
      มาแล้ว ปี 12

      ขอขอบคุณ

      ตอบกลับ KZKG ^ Gaara
  2.   ฟิกโซคอน dijo
    มาแล้ว ปี 12

    ยอดเยี่ยม 2 โพสต์

    ตอบกลับ FIXOCONN
  3.   Mystog @ N dijo
    มาแล้ว ปี 12

    ฉันใช้อันแรกเสมอเพราะฉันไม่รู้จัก awk แต่ฉันจะต้องเรียนรู้มัน

    cat / var / log / auth * | grep ล้มเหลว

    ที่นี่ที่ซึ่งฉันทำงานอยู่ที่คณะคณิตศาสตร์ - คอมพิวเตอร์ที่ Univ de Oriente ในคิวบาเรามีโรงงานของ "แฮ็กเกอร์ตัวน้อย" ที่คอยคิดค้นสิ่งที่ไม่ควรทำอยู่ตลอดเวลาและฉันต้องอยู่กับ 8 ตา ธีม ssh เป็นหนึ่งในนั้น ขอบคุณสำหรับคำแนะนำ

    ตอบกลับ Mystog @ N
  4.   ฮิวโก้ dijo
    มาแล้ว ปี 12

    คำถามหนึ่ง: หากมีเซิร์ฟเวอร์ที่หันเข้าหาอินเทอร์เน็ต แต่ใน iptables จะเปิดพอร์ต ssh สำหรับที่อยู่ MAC ภายในบางรายการเท่านั้น (สมมติว่ามาจากสำนักงาน) การพยายามเข้าถึงจากที่อยู่ภายในที่เหลือจะเข้าถึงบันทึกการตรวจสอบสิทธิ์และ / หรือภายนอก? เพราะฉันมีข้อสงสัย

    ตอบกลับ Hugo
    1.    KZKG ^ กาอาระ dijo
      มาแล้ว ปี 12

      ในบันทึกสิ่งที่บันทึกเป็นเพียงคำขอที่อนุญาตโดยไฟร์วอลล์ แต่ระบบปฏิเสธหรืออนุมัติเช่นนี้ (ฉันหมายถึงการเข้าสู่ระบบ)
      หากไฟร์วอลล์ไม่อนุญาตให้ส่งคำขอ SSH จะไม่มีสิ่งใดไปถึงบันทึก

      นี่ฉันยังไม่ได้ลอง แต่มาเถอะ ... ฉันคิดว่ามันต้องเป็นแบบนี้😀

      ตอบกลับ KZKG ^ Gaara
  5.   เสียงแตร dijo
    มาแล้ว ปี 10

    grep -i ล้มเหลว /var/log/auth.log | awk '{พิมพ์ $ 2 « - » $ 1 »» $ 3 « \ t USER: » $ 9 « \ t จาก: » $ 11}'
    rgrep -i ล้มเหลว / var / log / (โฟลเดอร์ logrotates) | awk '{พิมพ์ $ 2 « - » $ 1 »» $ 3 « \ t USER: » $ 9 « \ t จาก: » $ 11}'

    ตอบกลับ Bray
    1.    เสียงแตร dijo
      มาแล้ว ปี 10

      ใน centos-redhat … .. ฯลฯ ……
      / var / log / ปลอดภัย

      ตอบกลับ Bray