SSH暴力破解与弱口令攻击分析:一次由弱口令引发的测试服沦陷
1. 攻击链还原
信息收集 (低成本):攻击者使用
masscan、nmap等工具对目标IP段进行端口扫描,发现一台服务器(测试服)开放了22端口。暴力破解 (极低成本):攻击者使用
hydra、medusa等工具,加载常见的用户名列表(如root, admin, test, dev, git)和弱口令字典(如123456, admin, password, {用户名}123, {用户名}@2024),对SSH服务进行自动化爆破。入侵成功:由于测试服账户
dev的密码设置为dev@test,该密码在字典中,攻击者在数分钟至数小时内成功登录。权限提升与维持:登录后,攻击者尝试提权(如利用本地内核漏洞),并立即进行权限维持操作:
写入SSH公钥:在
~/.ssh/authorized_keys文件中添加自己的公钥,实现免密登录。创建隐藏后门账户:例如,使用
useradd -o -u 0 -g root -G root -M -s /bin/bash -d /home/systemd命令创建一个UID为0(root权限)的隐藏账户。植入定时任务:在
/etc/cron.hourly/或用户crontab中写入恶意脚本,用于持久化或下载后续攻击载荷。
2. 应急响应中发现的关键痕迹
日志证据:在
/var/log/secure或/var/log/auth.log中,发现大量来自单一IP或僵尸网络IP的失败登录尝试,最终有一条成功登录记录。异常进程与文件:发现未知的挖矿进程(如
kdevtmpfsi)、可疑的定时任务、或/tmp目录下的异常可执行文件。网络连接:使用
netstat或ss命令发现服务器向未知外网地址(如矿池地址)发起连接。
3. 深度防御建议(针对此攻击链)
前置防线:杜绝弱口令
强制使用长度大于12位、包含大小写字母、数字和特殊字符的复杂密码。
更佳实践:彻底禁用密码登录,强制使用SSH密钥对认证。这是防御爆破最有效的手段。
访问控制:缩小攻击面
使用防火墙(如
iptables、firewalld)或安全组策略,将SSH访问源IP限制为仅允许运维人员IP或堡垒机IP。修改SSH默认端口(但非根本性安全措施,配合其他手段使用)。
主动监控:及时告警
部署日志审计系统,对SSH登录失败频率设置阈值告警(如“5分钟内失败30次”)。
使用HIDS(主机入侵检测系统)监控
/etc/passwd、/etc/shadow、authorized_keys等关键文件的异常修改。
入侵假设:定期排查
定期使用
last、lastb命令检查登录历史。使用
rkhunter、chkrootkit等工具进行后门扫描。
这个案例清晰地展示了:安全意识的缺失(使用弱口令)和基础防护的缺席(开放公网SSH且无限次尝试),是导致“低成本”攻防失衡的核心。测试服的安全基线应与生产服对齐。