Як дізнатись, які невдалі спроби SSH були у нашого сервера

Alejandro (a.k.a KZKG^Gaara)

1 хвилину

Не так давно я пояснив як дізнатись, які IP-адреси були з'єднані SSH, але ... що, якщо ім’я користувача чи пароль були неправильними, і вони не з’єдналися?

Іншими словами, якщо хтось намагається вгадати, як отримати доступ до нашого комп’ютера чи сервера через SSH, нам справді потрібно це знати чи ні?

Для цього ми виконаємо ту саму процедуру, що і в попередньому дописі, ми відфільтруємо журнал автентифікації, але цього разу за допомогою іншого фільтра:

cat /var/log/auth* | grep Failed

Вони повинні виконати наведену вище команду, як коріньабо з Суду робити це з адміністративними дозволами.

Я залишаю скріншот, як це виглядає:

Як бачите, він показує місяць, день і час кожної невдалої спроби, а також користувача, з яким вони намагалися ввести, та IP-адресу, з якої вони намагалися отримати доступ.

Але це можна домовитись трохи більше, ми використаємо awk щоб трохи покращити результат:

cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'

Вище - ОДИН рядок.

Тут ми бачимо, як це буде виглядати:

Цей рядок, який я щойно показав, не повинен запам’ятовувати все, ви можете створити файл псевдонім для неї, однак, результат такий самий, як і з першим рядком, лише трохи більш організованим.

Це я знаю, що не багатьом це буде корисно, але для тих з нас, хто управляє серверами, я знаю, що це покаже нам деякі цікаві дані хе-хе.

привіт


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   hackloper775 - сказав він
    тому 12 років

    Дуже вдале використання труб

    привіт

    Відповісти hackloper775
    1.    KZKG ^ Гаара - сказав він
      тому 12 років

      Дякую

      Відповісти KZKG ^ Гаара
  2.   FIXOCONN - сказав він
    тому 12 років

    Відмінно 2 пост

    Відповісти FIXOCONN
  3.   Mystog @ N - сказав він
    тому 12 років

    Я завжди використовував перший, бо не знаю awk, але мені доведеться його вивчити

    cat / var / log / auth * | grep не вдалося

    Тут, де я працюю, на математично-обчислювальному факультеті Університету орієнтування на Кубі, у нас є фабрика "хакерів", які постійно вигадують речі, яких не слід, і я повинен бути з 8 очима. Тема ssh - одна з них. Дякую за підказку, чувак.

    Відповідь на Mystog @ N
  4.   Хьюго - сказав він
    тому 12 років

    Можна сумніватися: якщо у вас є сервер, який стоїть перед Інтернетом, але в iptables, хтось відкриває порт ssh лише для певних внутрішніх MAC-адрес (скажімо, з офісу), спроби доступу з решти внутрішніх адрес потраплять до журналу автентифікації та / або зовнішній? Бо я маю свої сумніви.

    Відповідь Гюго
    1.    KZKG ^ Гаара - сказав він
      тому 12 років

      У журналі зберігаються лише запити, дозволені брандмауером, але відхилені або схвалені системою як такою (я маю на увазі логін).
      Якщо брандмауер не дозволяє передавати запити SSH, до журналу нічого не дійде.

      Цього я не пробував, але давай ... Я думаю, це має бути так like

      Відповісти KZKG ^ Гаара
  5.   Товкти - сказав він
    тому 10 років

    grep -i не вдалося /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t КОРИСТУВАЧ:» $ 9 «\ t ВІД:» $ 11}'
    rgrep -i не вдалося / var / log / (реєструє папки) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t КОРИСТУВАЧ:» $ 9 «\ t ВІД:» $ 11}'

    Відповідь Брей
    1.    Товкти - сказав він
      тому 10 років

      в centos-redhat ... .. тощо ......
      / var / log / secure

      Відповідь Брей