Pages

Wednesday, June 15, 2011

SSH: listando os ataques sofridos

[update] Acho que eu estava dormindo quando escrevi esse texto. Deixei-o incompleto. Para que a informação não falte, estou atualizando-o. [/update]

Não são raras as vezes que eu tenho que averiguar as tentativas de invasão por ssh que os computadores que estão sob minha responsabilidade sofrem (para dizer a verdade, lista as tentativas de acesso inválidas). Recentemente resolvi colocar uma função no meu .bashrc (já devia te feito isso antes) e publicar aqui. A função é a seguinte:
logssh() { sudo grep sshd $1 |grep Invalid| sed "s/^.*.from //g"|sort |uniq -c|sort -nr;  }
Claro que ela foi escrita para computadores que possuem o sudo habilitado. De outra forma, acrescente o a mesma linha no .bashrc do root sem o comando sudo.

Para usar o comando, faça :
logssh /caminho/para/o/log/que/contem/a/informação/desejada
O grande porém desse comando é saber qual é o arquivo que contém a informação desejada.

Então, meu conhecimento me diz que no Arch Linux o arquivo é o /var/log/auth.log, no Scientific Linux 6, o arquivo é o /var/log/secure, e eu o conteúdo dessa informação registrado em  /var/log/messages, em /var/log/messages.log, em /var/log/auth (sem a extensão .log) e outros. Pode parecer incrível, mas cada vez que eu abro um sabor de GNU/Linux diferente eu dou uma olhada no conteúdos dos arquivos em /var/log para saber o que cada arquivo está registrando.

[update] Me lembrei agora que dependendo da versão do ssh, o comando pode necessitar de alguns ajustes no comando grep [/update]

2 comments:

  1. Muito bom mitre!!! Só não entendi o esquema do log, no ubuntu tem diferença?

    ReplyDelete
  2. Fábio,
    como eu atualizei o texto para incluir a informação que faltava.

    Veja se ficou claro agora.

    Um abraço.

    ReplyDelete