Wenn ihr glaubt, dass eine Webseite oft von Hackern angegriffen wird und sonst nichts, dann irrt ihr euch gewaltig. Heute zeige ich euch, wie ihr mal bei eurem Server über SSH checken könnt, wie viele Angriffe auf euren Server durchgeführt werden. Und zwar zeige ich euch, wie man über SSH nachschauen kann, wie viele gescheiterte SSH-Login-Versuche registriert worden sind.

Video

Anleitung

Zuerst müsst ihr euch natürlich über SSH einloggen und euch die Superadmin-Rechte zuweisen.

Danach könnt ihr loslegen.

Wenn ihr den folgenden Befehl aufruft, dann seht ihr alle gescheiterten Login-Versuche seit der Installation eures Servers, und je älter der Server ist, desto länger ist diese Liste.

journalctl -t sshd | grep "Failed"

Wenn ihr diesen Befehl eingebt, dann wird die Liste angezeigt, und zwar geht sie los seit dem letzten Neustart.

journalctl -t sshd -b | grep "Failed"

Ihr könnt aber auch diesen Befehl nehmen, und da werden die letzten 1000 Login-Versuche genommen und dann die gescheiterten angezeigt.

journalctl -t sshd -n 1000 | grep "Failed"

Oder ihr verwendet diesen Befehl, und da seht ihr alle gescheiterten Versuche der letzten 2 Tage.

journalctl -t sshd --since "2 days ago" | grep "Failed"

Viel Spass.