संभावित एसएच हमलावरों के आईपी पते कैसे प्राप्त करें?

मैंने सिर्फ cat /var/log/auth.logलॉग किया है और देखा है, कि कई | grep "Failed password for"रिकॉर्ड हैं।

हालाँकि, मान्य / अमान्य उपयोगकर्ता के लिए दो संभावित रिकॉर्ड प्रकार हैं। यह | cutउनके लिए मेरे प्रयासों को जटिल बनाता है।

मैं संभावित हमलावरों के आईपी पते और प्रत्येक आईपी पते के लिए प्रयासों की संख्या के साथ एक सूची (टेक्स्ट फ़ाइल) बनाना चाहूंगा। क्या इसे बनाने का कोई आसान तरीका है?

इसके अलावा, केवल के बारे में ssh: /var/log/auth.logसंभावित हमलावरों की सूची बनाते समय मुझे क्या विचार करना चाहिए?

छिपी हुई संख्या के साथ मेरे 'ओर्ट.लॉग' का उदाहरण:

cat /var/log/auth.log | grep "Failed password for" | sed 's/[0-9]/1/g' | sort -u | tail

परिणाम:

Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user ucpss from 111.11.111.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user vijay from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user webalizer from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user xapolicymgr from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user yarn from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user zookeeper from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for invalid user zt from 111.11.111.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for mysql from 111.111.11.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for root from 111.11.111.111 port 11111 ssh1
Mar 11 11:11:11 vm11111 sshd[111]: Failed password for root from 111.111.111.1 port 11111 ssh1

आप कुछ इस तरह का उपयोग कर सकते हैं:

grep "Failed password for" /var/log/auth.log | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" \
| sort | uniq -c

यह स्ट्रिंग Failed password forऔर अर्क ( -o) आईपी पते के लिए greps है । इसे क्रमबद्ध किया जाता है, और uniqघटनाओं की संख्या गिना जाता है।

तब आउटपुट इस तरह दिखेगा (इनपुट फ़ाइल के रूप में आपके उदाहरण के साथ):

  1 111.111.111.1
  3 111.11.111.111
  6 111.111.11.111

आउटपुट में अंतिम 6 बार कोशिश की गई है।

यह एक फूला हुआ समाधान हो सकता है लेकिन मेरा सुझाव है कि आप Fail2Ban जैसी किसी चीज को स्थापित करने पर ध्यान दें

यह इस तरह के लॉगिंग के लिए बना है + अपराधी को रोकने के लिए अपने फ़ायरवॉल में नियमों (अस्थायी) को जोड़ने में सक्षम (अस्थायी) होने का बोनस जोड़ता है। अपने खुद के आईपी को वाइटेलिस्ट करना सुनिश्चित करें, हालांकि, मैं कुछ अवसरों पर खुद को अस्थायी रूप से बंद करने में कामयाब रहा

इसने मेरे लिए असली काम किया। (दोषियों को बचाने के लिए आईपी बदल दिए गए हैं)

$ awk '/Failed/ {x[$(NF-3)]++} END {for (i in x){printf "%3d %s\n", x[i], i}}' /var/log/auth.log | sort -nr
 65 10.0.0.1
 14 10.0.0.2
  4 10.0.0.3
  1 10.0.0.4

grep "Failed password for" /var/log/auth.log |
    awk -F"from" {'print $2'} |
    awk {'print $1'} |
    sort -u