当前位置：首页 > article >正文

洞见——从SSH暴力破解日志中追踪入侵者全路径

article 2026/4/19 1:37:38

1. 从SSH暴力破解日志中追踪入侵者的完整路径那天早上我像往常一样检查服务器日志突然发现auth.log文件大小异常——原本每天只有几百KB的日志一夜之间暴涨到2GB。这明显是遭遇了SSH暴力破解攻击。作为运维老手我立即展开调查下面就把这次应急响应的完整过程分享给大家。SSH暴力破解是服务器最常见的攻击方式之一。黑客会使用自动化工具对服务器的22端口发起海量登录尝试试图通过穷举方式猜解密码。当我们在/var/log/auth.log中看到大量Failed password记录时就说明服务器正在遭受攻击。但真正危险的不是爆破本身而是攻击者成功登录后的后续操作。2. 识别爆破源IP地址2.1 提取失败登录记录首先需要找出所有尝试暴力破解的IP地址。Linux的认证日志通常保存在/var/log/auth.log中老日志可能会被压缩成auth.log.1等格式。我使用以下命令筛选root账户的失败登录记录grep Failed password for root /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr这个命令管道做了以下几件事grep筛选出所有root登录失败的记录awk提取第11列通常是源IP地址sort对IP进行排序uniq -c统计每个IP出现的次数sort -nr按尝试次数降序排列2.2 分析爆破IP特征在我的案例中输出结果显示有三个IP在进行爆破142 45.227.253.109 89 185.143.223.41 23 91.234.195.67值得注意的是前两个IP的尝试次数明显多于第三个这种分布很典型——攻击者通常会使用多个服务器同时发起爆破但各IP的尝试次数会有差异。45开头的IP尝试了142次这已经远超正常用户的操作频率。3. 定位成功登录的IP3.1 查找成功登录记录暴力破解的目的就是获取有效登录凭证所以接下来要检查是否有爆破成功的记录grep Accepted password for root /var/log/auth.log | awk {print $11}这条命令会输出所有成功登录root账户的IP地址。在我的日志中只有185.143.223.41这个IP成功登录过。3.2 交叉验证登录行为为了确认这不是正常管理员的登录我进一步检查了登录时间grep Accepted password for root /var/log/auth.log | awk {print $1,$2,$3,$11}结果显示登录发生在凌晨3:27这个时间段我们团队没有人会操作服务器。此外成功登录前该IP有89次失败尝试这基本可以确定是攻击者暴力破解成功。4. 还原攻击者的字典策略4.1 提取尝试过的用户名专业的攻击者不会只爆破root账户他们会准备一个常见用户名列表。我们可以用这个命令查看所有被尝试的用户名grep Failed password /var/log/auth.log | perl -ne print $1\n if /for (.?) from/ | sort | uniq -c | sort -nr输出显示攻击者尝试了这些用户名89 root 42 admin 31 test 28 user 15 oracle4.2 分析字典特征从用户名分布可以看出攻击者使用了典型的暴力破解字典包含默认系统账户root、admin常见测试账户test、user应用默认账户oracle这种组合很常见也提醒我们要避免使用这些简单用户名特别是不要用root直接对外暴露。5. 统计攻击强度和时间分布5.1 计算爆破频率了解攻击强度有助于评估风险程度。我使用这个命令统计每分钟的尝试次数grep Failed password /var/log/auth.log | awk {print $1,$2,$3} | cut -d: -f1,2 | uniq -c输出显示攻击持续了4小时17分钟最高峰时每分钟有12次尝试。这种强度不算特别高但足以说明是自动化工具所为。5.2 绘制攻击时间线将时间戳和IP关联起来可以更清楚看到攻击过程grep Failed password /var/log/auth.log | awk {print $1,$2,$3,$11} | head -20从日志可以看到攻击者先是用45.227.253.109进行试探性爆破30分钟后185.143.223.41加入攻击最终后者爆破成功。这种多IP轮换的策略很常见目的是规避简单的IP封锁。6. 发现隐藏的后门账户6.1 检查新创建的用户攻击者成功登录后第一件事往往是创建后门账户。我检查了用户创建日志grep new user /var/log/auth.log果然发现了一个可疑账户Jul 15 03:31:22 server useradd[28765]: new user: namebackdoor, UID1005, GID1005, home/home/backdoor6.2 分析后门用户权限进一步检查这个账户的详细信息grep backdoor /etc/passwd grep backdoor /etc/shadow发现该用户被加入了sudo组而且密码哈希显示是弱密码。这是典型的后门特征——高权限加弱密码方便攻击者随时回来。7. 应急响应与安全加固确认入侵后我立即采取了以下措施封锁攻击IPiptables -A INPUT -s 185.143.223.41 -j DROP删除后门用户userdel -r backdoor重置所有用户密码配置fail2ban自动封锁暴力破解禁用root直接SSH登录最后我修改了SSH配置/etc/ssh/sshd_configPermitRootLogin no PasswordAuthentication no UsePAM no改用密钥认证彻底杜绝密码爆破的可能。这次事件让我再次认识到安全防护不能只靠边界防御细致的日志监控同样重要。现在我的日常巡检清单中auth.log分析已经成为固定项目。

洞见——从SSH暴力破解日志中追踪入侵者全路径

相关文章：

洞见——从SSH暴力破解日志中追踪入侵者全路径

快狐KIHU｜连锁门店条形屏RK3566芯片品牌展示效率提升

把KQM6600空气检测数据送上云端：基于ESP8266/ESP32的物联网空气质量监测站DIY

从游戏开发工具集到SideFX Labs：这个免费Houdini插件如何帮你提升3D内容创作效率？

别再手动复制lib了！用VS2019属性表一键配置PCL 1.12.0（附模板下载）

FPGA显示入门：抛开IP核，用Verilog手撕一个简单的HDMI驱动（附TMDS编码核心代码解析）

【Windows】告别第三方工具：5个原生系统命令深度清理磁盘空间

保姆级教程：在Ubuntu 20.04上配置PCL 1.12，并跑通PPF+ICP点云识别Demo

m4s-converter终极指南：3分钟解锁B站缓存视频的完整教程

极域电子教室破解指南：3步重获电脑控制权

别再手动下载了！用Python+国信QMT自动拉取股票历史Tick数据（附完整代码与避坑点）

ChineseOCR文字方向检测：如何解决四种角度文字识别难题？

adb实战指南（二）- 解锁安卓设备调试权限与建立adb稳定连接

纹理打包的技术革命：Free Texture Packer如何重构游戏资源优化范式

【深度拆解】用马斯克五步工程法拆解 Hermes Agent 源码｜84.9k stars 的 Agent OS 到底牛在哪？

OpenTwins 架构深度解析与实战指南：构建可扩展数字孪生平台

JiYuTrainer：如何在被控制的电脑教室中重新获得操作自由

ESP32安全启动配置避坑指南：从生成密钥到烧录固件的完整流程

终极Nuke生存指南：150+免费插件让你三倍提升特效制作效率

保姆级教程：用海思ISP工具搞定CMOS传感器黑电平校正（BLC）

5分钟精通Windows倒计时神器：Hourglass让你的时间管理效率翻倍

Python爬取懂车帝热门车型评论数据实战

别再只会用Discover了！Kibana 7.10里这4种表格制作方法，到底该用哪个？

如何用AMLL打造媲美Apple Music的动态歌词体验：3步实现沉浸式音乐播放器

PostgreSQL 表结构解析与权限管理实战指南

ChineseOCR文字方向检测终极指南：智能校正0°、90°、180°、270°旋转文字

告别命令行GDB！用CLion远程调试Linux C++程序，像本地开发一样丝滑

《现代密码学理论与实践》中英文版：深入理解与实践应用

Mi-Create：5分钟打造专属小米穿戴表盘的终极免费工具

终极英雄联盟回放播放器：ROFL-Player完全使用指南