Wer SSH auf einem Server laufen l��sst wird fr��her oder sp��ter auch mal ���Opfer��� einer Brute-Force-Attacke. Dem kann man nicht entgehen, ist halt so. Um ein wenig Ruhe zu haben verbiegen einige Leute den SSH Port (22) oder lassen Klassiker wie Fail2Ban laufen. Letzteres mache ich und bin bisher immer damit gut gefahren. Es h��lt ziemlich gut l��stige Angriffsversuche ab und blockiert weitere f��r eine bestimmte Zeit. Irgendwann habe ich mich mal gefragt woher die Angriffe kommen (meistens aus China oder Russland) und welcher Benutzername verwendet wird.
Das l��sst sich mit ein bisschen Shellmagie leicht rausfinden. Der Befehl unten sucht nach dem Pattern ���Failed password for���, sortiert und z��hlt ein bisschen rum und spuckt das Ergebnis sch��n ��bersichtlich aus (Hier die Version f��r Debian. Ggf. musst Du das bei dir in secure.log ��ndern).
$awk '/Failed password for/ ' /var/log/auth.log | sed 's/.* \([[:print:]]\+\) from .*/ \1 /g ' | sort | uniq -c | sort -n -k1
Logrotate dreht bei mir alle 7 Tage die Logfiles auf Links, daher kommen jetzt hier die Top 10 der meistbenutzen Usernamen der letzten 7 Tage
������������������������������������������������������������������������������������������������������������������������������ ��� Platz ��� Wie oft gez��hlt ��� Benutzername ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 10 ��� 131 ��� jboss ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 9 ��� 146 ��� postgres ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 8 ��� 149 ��� oracle ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 7 ��� 151 ��� ftpuser ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 6 ��� 156 ��� test ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 5 ��� 163 ��� user ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 4 ��� 169 ��� ubuntu ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 3 ��� 1135 ��� pi ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 2 ��� 1364 ��� admin ��� ������������������������������������������������������������������������������������������������������������������������������ ��� 1 ��� 2565 ��� root ��� ������������������������������������������������������������������������������������������������������������������������������