Translate

miércoles, febrero 11, 2015

Comandos de seguridad en GNU/Linux, utiles para la shell y consultar accesos no deseados a nuestros equipos

Vamos a ver los comandos más útiles para realizar auditorías de acceso a nuestros servidores y equipos basados en GNU/Linux.


-Listado de las 25 IPs con más login correctos en SSH:
cat /var/log/secure* | grep Accepted | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -25
Util para saber quien ha tenido acceso root al servidor mediante SSH.


-Listado de las 25 IPs con más intentos de login a SSH:
cat /var/log/secure* | grep "Failed password" | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -25


-En debian:Listado de las 25 IPs con más intentos de login a SSH:
Despues de lanzar una busqueda en los logs de los ultimos dias:



[root@debian logs]# for i in 7 8 9 ;do echo "dia 2$i/10/2014";grep "ANONYMOUS LOGON"  request2014102$i.log  |awk '{print $1,$3}'|sort |uniq -c;done

cat /var/log/auth.log | grep Accepted | awk '{print $9 " " $11 }' | sort | uniq -c | sort -rn | head -25

Importante para tema de hackeos!!!:


Lo primero de todo, si crees que te están hackeando en este momento, revisa quién está dentro de tu tarro (vía SSH, por ejemplo)!
$ w
Segundo, si no hay nadie más que tú, entonce revisa los registros de bash (bash logs):
$ cat ~/.bash_history
O si tienes al usuario root activado:
$ cat /root/.bash_history
Después, si quieres ver los accesos al servidor:
$ last
O bien,
$ cat /var/log/auth.log
Para ver si crearon nuevas cuentas de usuario (¿hay algún nombre de usuario curioso al final del archivo?):
$ cat /etc/passwd
Para ver qué conexiones estás teniendo en éste momento (y a través de qué programa):
$ netstat -tap
Para ver qué puertos tienes abiertos (y si hay alguno que no debería estarlo):
$ sudo iptables -L

No hay comentarios: