Linux Log Analizi — SSH Servisine Yapılan Kaba Kuvvet Saldırısını Tespit Etmek

Kali’den IP adresi 10.10.10.20 olan Ubuntu işletim sistemindeki ssh servisine aşağıdaki şekilde kaba kuvvet saldırı yapılmıştır:

#hydra –L userpass.txt –P userpass.txt ssh://10.10.10.20

Userpass.txt dosyasının içeriği aşağıdaki şekildedir:

Tail komutunu kullanarak Ubuntu işletim sistemindeki auth logunu inceleyelim:

#tail –f auth.log

Geçersiz olan kullanıcılar tarafından yapılan başarısız giriş denemelerini tespit etmek için aşağıdaki komut çalıştırılabilir:

#grep “Failed password for” auth.log| grep “invalid user” | cut –d “ “ –f11| sort | uniq –c | sort –rn

Geçerli olan kullanıcılar tarafından yapılan başarısız giriş denemelerini tespit etmek için aşağıdaki komut çalıştırılabilir:

#grep “Failed password for” auth.log| grep “invalid user” -v| cut –d “ “ –f9| sort | uniq –c | sort –rn

Başarılı giriş yapan kullanıcıyı bulmak için aşağıdaki komut kullanılabilir:

#grep “Accepted password” auth.log| cut –d “ “ –f9|sort|uniq –c|sort

Yapılan saldırının kaba kuvvet saldırısı olduğunu tespit etmek için hangi zaman diliminde kaç kere giriş denemesi yapıldığını incelemek için aşağıdaki komutu kullanabiliriz:

#grep “password for” auth.log|cut –d “ “ –f1,2,3|sort|uniq –c |sort

1,2,3 sütunda zaman bilgisi bulunmaktadır.

5 sn içerisinde 35 adet giriş denemesi yapıldığı için kaba kuvvet saldırısı yapıldığı tespit edilmiştir.