Тема: Кой се е опитвал да влезе през SSH ? (Прочетена 1156 пъти)

eNcLaVe · « -: May 01, 2005, 20:47 »

Откъде мога да видя IP-тата на тези които са се опитвали да влязат в машината през SSH и/или telnet

'> независимо дали са се опитали да влязат като root или като други юзъри.....

spooky · « **Отговор #1 -:** May 01, 2005, 21:11 »

при слакуер и някои други дистрибуции това е /var/log/messages за по лесно може да грепниш само записите за sshd ( grep -a sshd /var/log/messages ), за други дистрибуции като дебиан доколкото си спомням това е /var/log/auth.log ако греша някои да ме поправи

'>

« **Отговор #2 -:** May 01, 2005, 21:51 »

/var/log/secure

zeridon · « **Отговор #3 -:** May 02, 2005, 16:10 »

/var/log/messages - системни съобщения
/var/log/secure - съобщения от SSH

last - последните успешни логвания на потребител
lastb - последните неуспешни логвания на потребител
това са команди

По-добър подход е да ползваш нещо от типа на snort & tripwire

plamen_t · « **Отговор #4 -:** May 02, 2005, 23:51 »

Оле... Добре че се откри тази тема, че да видя колко народ се опитал да се логне в PC-то ми през ssh-то. За щастие без успех

'>
А на Slakware e в /var/log/messages логът на ssh-то.

Междудругото как мога да спра стартирането на ssh демона при старт. Мислех че е в /etc/inetd.conf ама там няма. Ползвам Slackware-current.

laskov · « **Отговор #5 -:** May 03, 2005, 09:49 »

Цитат

как мога да спра стартирането на ssh демона при старт

С chmod правиш /etc/rc.d/rc.sshd да не е изпълним ( chmod 644 /etc... )

rpetrov · « **Отговор #6 -:** May 03, 2005, 11:04 »

Цитат (plamen_t @ Май 02 2005,23:51)

Оле... Добре че се откри тази тема, че да видя колко народ се опитал да се логне в PC-то ми през ssh-то.

по-скоро са автоматични скенери търсещи потребители с лесни пароли.

Автор Тема: Кой се е опитвал да влезе през SSH ? (Прочетена 1156 пъти)