Ver intentos de conexión a mi servidor Linux

Published:

Teniendo un servicio publicado a internet sabemos que vamos a estar expuestos a ataques, por eso es importante no solo mantener actualizado si no también poder saber como ver quienes están intentando ingresar a hacer sus fechorías, así que te muestro como poder verlo de forma simple para tu distribución Linux.

Voy a mostrar 2 formas, una que muestra todos los usuarios y otra que muestra al usuario root, pero básicamente los parámetros son de ejemplo se pueden intercambiar a gusto. Para lograr esto vamos a valernos del análisis sobre un archivo que se llama secure y se encuentra en /var/log. La idea es poder familiarizarse con este y poder chequear por ssh nuestro servidor.

1- Ver todos intentos

En este ejemplo voy a listar, primero la cantidad de veces seguido de la IP que intento establecer la conexión y el nombre de usuario que se probó. Miren bien que head -20 me muestra solo los primeros 20 resultados, si saco este parámetro voy a visualizar todos los intentos.

zgrep -hi "Failed password for " /var/log/secure* | sed "s/invalid user //" | tr -s " " | awk '{print $11" "$9}' | sort | uniq -c | sort -rn | head -20

ssh-ataq1

2- Ver solo al usuario root

En este otro ejemplo, que es otra alternativa, solo al usuario root, similar al ejemplo anterior sort -rn me ordena de mayor a menor los intentos, y head -10 solo los últimos 10 resultados.

cat /var/log/secure* | grep 'Failed password' | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -10

ssh-ataq2Sabiendo esto ya podemos tomar medidas como bloquear estas IP en el firewall, dado que seguramente sea un ataque de fuerza bruta por diccionario, así que seguiré publicando sobre este tema y si podes colaborar sos bienvenido.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

Ads Blocker Image Powered by Code Help Pro

Se detecto un bloqueador de publicidad!!!

Nuestro contenido es 100% gratuito, por favor colabora con nosotros, permite la publicidad y disfruta del contenido.