01 02

Log acessos SSH

13. Re: Log acessos SSH

danniel-lara
(usa Fedora)

Enviado em 21/11/2011 - 10:32h

jrboladao escreveu:

no meu /etc/passwd tem um monte de usuários agora que vi, vou te passar aki:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
sgtsoriano:x:1000:1000:silvio soriano junior,,,:/home/sgtsoriano:/bin/bash
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
bind:x:104:106::/var/cache/bind:/bin/false
openvpn:x:1001:1001::/dev/null:/bin/false
messagebus:x:105:107::/var/run/dbus:/bin/false
gdm:x:106:108:Gnome Display Manager:/var/lib/gdm:/bin/false
haldaemon:x:107:110:Hardware abstraction layer,,,:/var/run/hal:/bin/false
munin:x:108:113::/var/lib/munin:/bin/false
mysql:x:109:114:MySQL Server,,,:/var/lib/mysql:/bin/false

Posso apagar tudo? e deixar so o meu?

tranquilo pois é do sistema isso
pelo que vi não tem usuário
bom acho que estavam utilizando o usuário root
efetue o que eu disse
troque a porta do ssh e a senha do root

0 0

Quote

14. Re: Log acessos SSH

removido
(usa Nenhuma)

Enviado em 21/11/2011 - 10:58h

Cara, eu tenho um script aqui muito doido gambiarrento pra evitar nego chato tentando logar por ssh. Ve se te serve. Eu rodo de meia em meia hora e funciona.



#!/bin/sh



##########

#

# Este script le os logs do sshd, verifica se houveram mais de MAX_TRIES 

# erros de tentativas de login vindos do mesmo IP e o coloca na lista

# de IP's nao permitidos para logar por ssh.

######

# Passo 1: Salva no arquivo list.txt como no exemplo

# 15 10.0.0.1

# 9 172.0.0.9

# (15 tentativas para 10.0.0.1, 9 para 172.0.0.9)

######

# Passo 2: Le as linhas de list.txt. Os IP's que tem numero de tentativas

# maior do que MAX_TRIES serao comparados com os que ja existem em

# /etc/hosts.deny.

#  Se ja existe no arquivo, pula. Se nao encontrou ate o final, salva no

#  arquivo blacklist.txt como no exemplo

#  sshd: 10.0.0.1

###### 

# Passo 3: Redireciona o arquivo blacklist.txt para o final do /etc/hosts

###### 

######

# Parametro: Arquivo de log do sshd

######

# Marangon 20110520

#

##########



MAX_TRIES=15



awk 'gsub(".*sshd.*Failed password for (invalid user )?", "") {print $3}' \

 $1 | sort | uniq -c | sort -rn > list.txt

while read tries ip; do

  if [ "$tries" -gt "$MAX_TRIES" ]; then

    while read service deniedip; do

    line_already_exists=0

      if [ X"$ip" = X"$deniedip" ]; then

        line_already_exists=1

        break

      fi

    done < /etc/hosts.deny

    if [ "$line_already_exists" -eq "0" ]; then

      echo sshd: $ip >> blacklist.txt

    fi

    if [ -s blacklist.txt ]; then

      cat blacklist.txt >> /etc/hosts.deny

      rm blacklist.txt

    fi

  fi

done < list.txt

rm list.txt

exit 0

0 0

Quote

15. Re: Log acessos SSH

danniel-lara
(usa Fedora)

Enviado em 21/11/2011 - 11:03h

muito legal esse script
vou efetuar um teste com ele

0 0

Quote

16. Re: Log acessos SSH

s.s.junior
(usa Ubuntu)

Enviado em 21/11/2011 - 11:17h

Cara ... vou usar teu script sim. To alterando todas as senhas e a porta do ssh, vamos ver se acabo com essas alterações.

0 0

Quote

17. Re: Log acessos SSH

andrecanhadas
(usa Debian)

Enviado em 04/09/2012 - 23:23h

s.s.junior escreveu:

Cara ... vou usar teu script sim. To alterando todas as senhas e a porta do ssh, vamos ver se acabo com essas alterações.

Instale o fail2ban e deixe o cara que esta fazendo isso sem internet rsrsr

Pois se tentar uma senha invalida (por padrão acho que 6 vezez) o ip dele fica bloqueado por um X tempo que você definir. e com isso inclui portas http, https enfim o cara não conecta mais em porta alguma.

0 0

Quote

18. Re: Log acessos SSH

viniciustavares
(usa Kali)

Enviado em 04/10/2016 - 10:29h

s.s.junior escreveu:

Entao ... Eu não consegui descobrir como ele tá acessando, provavelmente ele ta usando o root sim. Eu já troquei a senha do root e ele continuou os acessos. Eu não sei o que ele ta rodando na maquina dele que esta descobrindo as senhas. Mas antes de bloquea-lo eu preciso comprovar pra chefia que ele ta fazendo isso, por isso pensei nos log de acesso.

Cara... Esse usuario tem acesso fisico ao servidor?? A senha do root pode ser descoberta atraves do grub (inicialização do sistema) com o auxiliio do John the riper...

Dica 1: Desabilite o acesso ssh diretamente com o usuário root;
dica2: coloque uma senha no grub
dica3: limite o acesso fisico ao servidor.

Espero ter ajudado.

0 0

Quote