日常开头先扯点什么，最近有本 内网安全攻防的书到了，质量确实不错，看着看着突然想了一下自己在进入内网机器后的一些信息收集的操作，然后就联想到了我服务器上的SSH日志上，众所周知，公网上的机器有事没事就会挨一顿扫，所以就想趁着疫情闲的发慌，整一个审计的脚本，当然说是审计，但级别还远远不够，只是更直观的来看哪些IP登录成功，哪些IP登录失败，登录失败的用户名又是什么

这个jio本呢，是用 re和 sys两个内置库来完成的

不得不说，这个正则匹配确实是一大痛点，说是学，学了这么久也只会个 (.*?)，

sys库主要是用来获取文件名的，文件名你也可以用str(input())来获取，不是非得用这个方法，但看起来确实牛批多了

import re
import sys

#获取文件名
filename = sys.argv[1]

解释一下，SSH日志中，记录登录失败和成功

SSH日志文件，一般都存在 /var/log目录下，我是 Ubuntu系统，文件名叫做 auth.log

登录失败是有分两种情况

• 已有的用户名登录，但是密码错误
• 无效的用户名登录

第二种情况很明显，就是公网里有人在尝试SSH用户名爆破，这种报错呢，记录在SSH日志中，是长这个样的

Feb 16 18:26:21 xxxxx sshd[20958]: Failed password for invalid user admina from xx.xx.xx.xx port 57609 ssh2

无效的用户 admina

第一种情况的话，记录的内容差不多，只不过没有 invalid user

我们先建立两个空数组，用来储存成功、失败后的记录

...
success_record=[]
failed_record=[]

接着利用 re来一条一条的匹配SSH日志内容

...
def search(filename):
    global success_record,failed_record #全局变量
    pattern=re.compile(r': (.*?) password for (.*?) from (.*?) port (\d+)') #正则规则
    file=open(filename,'r') #打开文件
    for i in file:
        check_login=pattern.search(i) # 正则匹配
        if check_login: # 检查是否匹配到内容，如果没有就下一条
            if check_login.group(1)=="Accepted": # 成功登录
            #这里的.group(0)是原文，.group(2)为用户名，.group(3)为登录的IP地址，.group(4)为对方的端口
                success_record.append([check_login.group(2),check_login.group(3),check_login.group(4)])
            elif check_login.group(1)=="Failed": # 失败登录
                if "invalid user" in check_login.group(2):  #用户名会因为黑客测试无效用户而变得多余，所以删掉多余的部分
                    failed_record.append([check_login.group(2)[13:],check_login.group(3),check_login.group(4)])
                else:
                    failed_record.append([check_login.group(2),check_login.group(3),check_login.group(4)])
        else:
            continue

一轮for循环后，成功和失败的结果都保存下来了，然后将结果统一输出就好了

...
def printdata():
    global success_record,failed_record
    if success_record: #先判断是否存在内容
        print("[+] 已找到成功的记录"+str(len(success_record))+"条")
        for i in success_record:
            print("        用户名: "+i[0]+" 登录IP: "+i[1]+" 连接端口: "+i[2])
    else:
        print("[-] 无SSH登录成功的记录...")
    if failed_record:
        print("\n[+] 已找到失败的记录"+str(len(failed_record))+"条")
        for i in failed_record:
            print("        用户名: "+i[0]+" 登录IP: "+i[1]+" 连接端口: "+i[2])
    else:
        print("\n[-] 无SSH登录失败的记录...")

写完后，调用即可

...
search(filename)
printdata()

运行后的效果是这样的

github链接：

> https://github.com/Ernket/SSH-log-audit