ArtigosLinuxShell Script

Script para verificar tentativas de login no Linux

1K views
Nenhum comentário
4.5
(2)

Você sabe quem anda acessando seu servidor? E quem anda “tentando” acessar?

Nos dias atuais a segurança é um item primordial na vida dos analistas. Se você trabalha em um ambiente pequeno e não possui um Firewall para gerenciar os acessos, saiba que no Linux essas informações geram log e você deve verificar…

O script abaixo é simples, trata-se de um filtro de usuários, vasculhando nos arquivos de log, os acessos e tentativas de login.

Lembrando que caso algo suspeito seja encontrado, vale a pena vasculhar os arquivos de log de forma minuciosa.

Primeiro passo, criar o arquivo de script

cd /tmp
vim login.sh
Depois inserir os códigos abaixo:
#!/bin/bash
# Mostar os ultimos logins e tentativas de login, no sistema.
clear
echo -e “Ultimos logins no sistema”
echo
last | cut -d ” ” -f 1 | sort | uniq | sed /^$/d
echo
echo -e “Tecle “ENTER” para continuar”
read
if [ -e /var/log/secure ] ; then
echo -e “Falha de acesso ou ilegal”
echo
cat /var/log/secure | egrep [Ff]ailed
cat /var/log/secure | egrep [Ii]llegal
echo
echo -e “Tecle “ENTER” para continuar”
read
fi
if [ -e /var/log/auth.log ] ; then
echo -e “Falha de Acesso ou ilegal”
echo
cat /var/log/auth.log | egrep [Ff]ailed
cat /var/log/auth.log | egrep [Ii]llegal
echo
echo -e “Tecle “ENTER” para finalizar”
read
fi
Após colar as instruções, pressione “ESC” e “:x” para salvar e sair.
Lembre-se de dar permissão de execução ao arquivo, através do comando “chmod”
Detalhando:
O script irá vasculhar os arquivos:
– last
– /var/log/secure
– /var/log/auth.log
Executando filtro para facilitar a visualização.
Resultado:
Como resultado, seu script retornará algo parecido com a tela abaixo
Ultimos logins no sistema
reboot
root
wtmp
Pressione enter para continuar
Acessos encontrados no /var/log/secure
localhost sshd[1342]: Failed password for root from 192.168.1.102 port 1648 ssh2
localhost sshd[1342]: Failed password for root from 192.168.1.102 port 1648 ssh2
localhost sshd[1344]: Failed password for invalid user invasao from 192.168.1.102 port 1650 ssh2
localhost sshd[1344]: Failed password for invalid user invasao from 192.168.1.102 port 1650 ssh2
Pressione enter para continuar
Acessos encontrados no /var/log/auth.log
.
Pressione enter para finalizar a busca.
Então é isso, verifique seu sistema.
Abraços.
André Francisco Gotardo

O que você achou disso?

Média da classificação 4.5 / 5. Número de votos: 2

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Como você achou esse post útil...

Ajude o site a crescer compartilhando o conteúdo

Lamentamos que este post não tenha sido útil para você!

Vamos melhorar este post!

Diga-nos, como podemos melhorar este post?

Tags: invasão, linux, , segurança

Artigos Relacionados

Gostou do conteúdo? Deixe seu comentário

Secured By miniOrange