Как получить IP-адреса возможных злоумышленников SSH?

17

Я просто cat /var/log/auth.logзахожу и вижу, что | grep "Failed password for"записей много .

Однако есть два возможных типа записи - для действительного / недействительного пользователя. Это усложняет мои попытки к | cutним.

Я хотел бы видеть создание списка (текстового файла) с IP-адресами возможных злоумышленников и количеством попыток для каждого IP-адреса. Есть ли простой способ создать его?

Кроме того, касательно только ssh: что все записи /var/log/auth.logя должен учитывать при составлении списка возможных злоумышленников?

Пример моего 'auth.log' со скрытыми номерами:

cat /var/log/auth.log | grep "Failed password for" | sed 's/[0-9]/1/g' | sort -u | tail

Результат:

Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user ucpss from 111.11.111.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user vijay from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user webalizer from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user xapolicymgr from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user yarn from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user zookeeper from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user zt from 111.11.111.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for mysql from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for root from 111.11.111.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for root from 111.111.111.1 port 11111 ssh1
ssh scripting security kravemir
источник
Я предлагаю вам создать ssh-ключи, установить их на своем сервере и полностью отключить пароли в конфигурационном файле sshd вашего сервера /etc/ssh/sshd_config... настройки поиска PasswordAuthentication noи PermitRootLogin without-password ... тогда все такие попытки пароля будут сорваны, прежде чем они войдут в auth.log ...
Скотт

Ответы:

19

Вы можете использовать что-то вроде этого:

grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" \
| sort | uniq -c

Он ищет строку Failed password forи извлекает ( -o) IP-адрес. Он сортируется и uniqподсчитывает количество случаев.

Вывод будет выглядеть следующим образом (с вашим примером в качестве входного файла):

  1 111.111.111.1
  3 111.11.111.111
  6 111.111.11.111

Последний в выводе пробовал 6 раз.

хаос
источник
это лучший ответ @chaos - добавил в мой ящик полезных вкладчиков - спасибо!
Джейк
Отличное решение. Я не знал, что grep может извлекать совпадения регулярных выражений, а не только фильтровать строки. Я только что добавил | sort -nв цепочку.
Кравемир
1
Хороший ответ - множественные greps обычно являются признаком использования sed. sed -nr '/Failed/{s/.*([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+).*/\1/;p}'заменяет оба greps.
Орион
1
@orion true, но представьте, что первым grep также может быть zgrep "Failed" /var/log/auth.log*поиск в архивах сжатых журналов, чего sedнельзя.
хаос
1
А как насчет IPv6?
Ортомала Локни
6

Это может быть раздутым решением, но я предлагаю вам взглянуть на установку что-то вроде Fail2Ban

Это сделано для такого рода журналирования + добавляет бонус в виде возможности добавлять (временные) правила в ваш брандмауэр, чтобы блокировать повторяющихся нарушителей. Обязательно внесите в белый список свои собственные IP-адреса, хотя мне несколько раз удавалось временно заблокировать себя

Джейк
источник
Ну, хороший комментарий, но не ответ на вопрос. Это больше похоже на предложение, которое может убрать вопрос, но мне не нужен демон для контроля моих файлов. У меня есть причины, по которым мне нужно сделать этот список в виде текстового файла только по сценариям. :)
Кравемир
Я согласен с @Miro, если бы вы не упомянули об этом здесь, я бы добавил это в комментарии.
SailorCire
@Miro, вы правы, а не ответ на сам вопрос, он просто пришёл в голову как удобный инструмент для такого рода регистрации.
Джейк
0

Это сработало очень хорошо для меня. (IP-адреса были изменены, чтобы защитить виновных)

$ awk '/Failed/ {x[$(NF-3)]++} END {for (i in x){printf "%3d %s\n", x[i], i}}' /var/log/auth.log | sort -nr
 65 10.0.0.1
 14 10.0.0.2
  4 10.0.0.3
  1 10.0.0.4
Falsenames
источник
0 
grep "Failed password for" /var/log/auth.log |
    awk -F"from" {'print $2'} |
    awk {'print $1'} |
    sort -u
Ливиу Попеску
источник
Результат password- не работает. Он даже не охватывает различные типы awkзаписей, столбец печати является альтернативой cut, а не решением.
Кравемир
У меня это работает либо с примером выше, либо реальным /var/log/auth.log
Archemar
Ну, это не сработало до редактирования - когда был сделан комментарий. Теперь это работает правильно. Тем не менее, это не так, uniq -cкак в лучшем ответе.
Кравемир