Contas atacadas

Question

Contas atacadas

#1 resposta do (2 votos)

1

Eu executei dois comandos abaixo. Eu acho que algumas das contas atacam como abaixo. Eu não tenho o teste de conta, teste, oracle e admin no meu diretório home. Como há conta do sistema. Como saber quais são contas válidas e inválidas.

lastb | awk '{print $1}' | sort | uniq -c | sort -rn | head -5
   5898 root
    196 test
    164 oracle
    154 teste
     86 admin
[root@localhost ~]# awk 'gsub(".*sshd.*Failed password for (invalid user )?", "") {print $1}' /var/log/secure* | sort | uniq -c | sort -rn | head -5
  13835 root
    386 test
    185 oracle
    146 admin
    131 nagios

security centos

por newbie14 14.12.2012 / 06:02

1 resposta

Tags security centos

chaves e subcaixas Como posso encontrar todas as correspondências de uma string em um diretório?

score 2 · Accepted Answer

Estes são apenas ataques de bot automatizados e não incomuns para qualquer sistema exposto à internet. Para obter uma lista de usuários, você pode usar getent no CentOS:

getent passwd | awk -F':' '{ print $1 }'

Para colocá-lo junto com o que você já tem:

while read -r count user; do
   printf '%s %s ' "$user" "$count" 
   if getent passwd | grep -q "^$user:"; then
       printf 'valid\n'
   else
       printf 'invalid\n'
   fi
done < <(awk 'gsub(".*sshd.*Failed password for (invalid user )?", "") {print $1}' /var/log/secure* | sort | uniq -c | sort -rn | head -5)