Você sabe quem anda acessando seu servidor? E quem anda “tentando” acessar?
Nos dias atuais a segurança é um item primordial na vida dos analistas. Se você trabalha em um ambiente pequeno e não possui um Firewall para gerenciar os acessos, saiba que no Linux essas informações geram log e você deve verificar…
O script abaixo é simples, trata-se de um filtro de usuários, vasculhando nos arquivos de log, os acessos e tentativas de login.
Lembrando que caso algo suspeito seja encontrado, vale a pena vasculhar os arquivos de log de forma minuciosa.
Primeiro passo, criar o arquivo de script
cd /tmp
vim login.sh
vim login.sh
#!/bin/bash
# Mostar os ultimos logins e tentativas de login, no sistema.
clear
echo -e “Ultimos logins no sistema”
echo
last | cut -d ” ” -f 1 | sort | uniq | sed /^$/d
echo
echo -e “Tecle “ENTER” para continuar”
read
if [ -e /var/log/secure ] ; then
echo -e “Falha de acesso ou ilegal”
echo
cat /var/log/secure | egrep [Ff]ailed
cat /var/log/secure | egrep [Ii]llegal
echo
echo -e “Tecle “ENTER” para continuar”
read
fi
if [ -e /var/log/auth.log ] ; then
echo -e “Falha de Acesso ou ilegal”
echo
cat /var/log/auth.log | egrep [Ff]ailed
cat /var/log/auth.log | egrep [Ii]llegal
echo
echo -e “Tecle “ENTER” para finalizar”
read
fi
# Mostar os ultimos logins e tentativas de login, no sistema.
clear
echo -e “Ultimos logins no sistema”
echo
last | cut -d ” ” -f 1 | sort | uniq | sed /^$/d
echo
echo -e “Tecle “ENTER” para continuar”
read
if [ -e /var/log/secure ] ; then
echo -e “Falha de acesso ou ilegal”
echo
cat /var/log/secure | egrep [Ff]ailed
cat /var/log/secure | egrep [Ii]llegal
echo
echo -e “Tecle “ENTER” para continuar”
read
fi
if [ -e /var/log/auth.log ] ; then
echo -e “Falha de Acesso ou ilegal”
echo
cat /var/log/auth.log | egrep [Ff]ailed
cat /var/log/auth.log | egrep [Ii]llegal
echo
echo -e “Tecle “ENTER” para finalizar”
read
fi
Lembre-se de dar permissão de execução ao arquivo, através do comando “chmod”
Detalhando:
O script irá vasculhar os arquivos:
– last
– /var/log/secure
– /var/log/auth.log
Executando filtro para facilitar a visualização.
Resultado:
Como resultado, seu script retornará algo parecido com a tela abaixo
Ultimos logins no sistema
reboot
root
wtmp
Pressione enter para continuar
Acessos encontrados no /var/log/secure
localhost sshd[1342]: Failed password for root from 192.168.1.102 port 1648 ssh2
localhost sshd[1342]: Failed password for root from 192.168.1.102 port 1648 ssh2
localhost sshd[1344]: Failed password for invalid user invasao from 192.168.1.102 port 1650 ssh2
localhost sshd[1344]: Failed password for invalid user invasao from 192.168.1.102 port 1650 ssh2
Pressione enter para continuar
Acessos encontrados no /var/log/auth.log
.
Pressione enter para finalizar a busca.
reboot
root
wtmp
Pressione enter para continuar
Acessos encontrados no /var/log/secure
localhost sshd[1342]: Failed password for root from 192.168.1.102 port 1648 ssh2
localhost sshd[1342]: Failed password for root from 192.168.1.102 port 1648 ssh2
localhost sshd[1344]: Failed password for invalid user invasao from 192.168.1.102 port 1650 ssh2
localhost sshd[1344]: Failed password for invalid user invasao from 192.168.1.102 port 1650 ssh2
Pressione enter para continuar
Acessos encontrados no /var/log/auth.log
.
Pressione enter para finalizar a busca.
Abraços.
André Francisco Gotardo