Herramienta que detecta la cantidad de IPs que han tratado de conectarse a través de ssh, usuarios que han sido probados, las IPs que han fracaso en la conexión y, por último, las IPs y usuarios que han logrado acceder al sistema.
Simplemente debemos de ejecutar el binario como root --> ./setup.sh (En caso de no ser root, nos dará error).
Tiene varias líneas comentadas, por lo que si quiere acceder al resto, simplemente descomenta.
Se le instalará en el sistema, por lo que no necesitará usar ./log4me --> log4me directamente.
Una vez ejecutemos la herramienta, esta reportará por consola la presencia o no de los registros SSH en el sistema, por lo que podremos saber si han intentado acceder por ssh a nuestro dispositivo/servidor.
En caso negativo, nuestra herramienta simplemente se saldrá automáticamente sin reportar nada puesto que necesita del auth.log que se generar gracias al rsyslog del sistema.
En caso de reporte positivo veremos el OUTPUT de nuestra herramienta, por lo que nos reportará información bastante importante y relevante:
1-Las IPs que han tratado de conectarse (Tanto privadas como públicas).
2-Las conexiones que han fallado (contraseña inválida).
3-Nombres de usuarios que han probado para conectarse al sistema.
4- Contraseñas válidas, por lo que el login ha sido positivo (se reportará como peligro junto con el puerto para poder cortar comunicación rápidamente).
La herramienta acabo de desarrollarla y, me gustaría que, si alguien la necesita o quiere que la actualice para otros SO, distribuciones, etc que me escriba sin ningún problema, se trata de ayudarnos entre todos.
Para poneros en contacto conmigo --> [email protected]
- Herramienta en desarrollo con detección de intrusión.
{Reportados varios fallos.}
1- Se mostraban los usuarios sin orden y mezclados con más líneas que contenían otra información.
2- Las direcciones IP mostradas se mezclaban con los usuarios.
- Herramienta con fallo de múltiples líneas y letras para usuarios corregidas.
{Reportados varios fallos.}
1- Las direcciones IP seguían mezclándose con el nombre de usuario, incluso se reporta repeticción de nombres + unknowns.
- Herramienta completamente útil con reporte, y fallos anteriores completamente eliminados.
{Reportado un fallo.}
1- Se ha detectado repetición de conexiones fallidas o exitosas llenando de ruido innecesario el output.
- Herramienta libre de fallos con reporte útil para intrusión.
{No hay reportes.}
+ Reporte válido y fallos eliminados.