从一次真实的SSH爆破日志,我总结了攻击者的常用字典和手法
从SSH爆破日志逆向拆解攻击链:一份运维工程师的实战防御手册
凌晨三点,服务器告警铃声突然响起——/var/log/auth.log中堆积的数百条"Failed password"记录正在无声宣告:你的系统正面临一场有组织的SSH暴力破解。这不是教科书里的理论场景,而是每位运维人员终将直面的真实攻防对抗。本文将带你化身数字侦探,通过真实日志逆向还原攻击者的完整操作链,并转化为可立即落地的防御方案。
1. 攻击者画像:从日志碎片还原入侵轨迹
1.1 用户名字典的犯罪心理学分析
翻看被爆破服务器的auth.log,攻击者使用的用户名字典呈现出清晰的模式:
user,hello,root,test3,test2,test1这份字典透露三个关键信息:
- 默认账户试探:root作为Linux系统的超级用户永远是首要目标
- 通用命名模式:test系列账户反映攻击者对开发测试环境的了解
- 社交工程元素:像"hello"这样的友好词汇常被用于钓鱼攻击
通过以下命令可快速提取攻击字典:
cat /var/log/auth.log.1 | grep "Failed password" | perl -ne 'print "$1\n" if /for (.*?) from/' | sort | uniq -c | sort -nr1.2 IP行为模式解码
分析爆破源IP时,192.168.200.2展现出典型的"低慢小"攻击特征:
| IP地址 | 尝试次数 | 行为模式 |
|---|---|---|
| 192.168.200.2 | 4 | 持续低频试探 |
| 192.168.200.31 | 1 | 单次扫描 |
| 192.168.200.32 | 1 | 单次扫描 |
使用这个命令可量化攻击强度:
cat /var/log/auth.log.1 | grep "Failed password for root" | awk '{print $11}' | sort | uniq -c2. 入侵后的蛛丝马迹:攻击者留痕分析
2.1 后门账户的创建特征
攻击者得手后立即创建了test2账户,这种命名方式暴露出攻击脚本的固定模式。通过以下命令可捕获用户创建事件:
cat /var/log/auth.log.1 | grep "new user" | awk -F'name=' '{print $2}' | cut -d, -f1注意:现代攻击工具已开始使用更隐蔽的账户名如postgres、backup等伪装成系统账户
2.2 成功登录的时间窗口
日志显示爆破成功后存在约17分钟的操作空窗期,这是攻击者进行横向移动的黄金时间。关键命令记录往往出现在:
grep "Accepted" /var/log/auth.log.1 | awk '{print $1,$2,$3,$11}'3. 防御体系构建:从日志分析到实战加固
3.1 即时止血方案
当发现爆破行为时,应按此优先级快速响应:
- 封锁攻击源:
iptables -A INPUT -s 192.168.200.2 -j DROP - 禁用高危账户:
usermod -L root && passwd -l root - 清除后门账户:
userdel -r test2 && auditctl -w /etc/passwd -p wa -k user_changes
3.2 中长期防御策略
3.2.1 SSH加固配置模板
修改/etc/ssh/sshd_config时应包含这些关键参数:
Port 65222 # 更改默认端口 PermitRootLogin no # 禁用root登录 MaxAuthTries 3 # 限制尝试次数 LoginGraceTime 1m # 缩短登录窗口 AllowUsers admin # 白名单机制3.2.2 主动防御系统搭建
Fail2ban配置示例(/etc/fail2ban/jail.local):
[sshd] enabled = true maxretry = 3 findtime = 3600 bantime = 864004. 监控体系升级:从被动响应到主动狩猎
4.1 日志监控黄金指标
建立实时告警机制应关注这些核心指标:
- 异常登录频率:单IP每分钟>5次SSH尝试
- 非常用账户活动:非白名单账户的登录成功事件
- 特权操作时序:凌晨时段的敏感命令执行
4.2 高级检测技术
使用auditd监控关键操作:
auditctl -a always,exit -F arch=b64 -S execve -k cmd_exec配合以下规则检测可疑行为:
ausearch -k cmd_exec | grep -E "useradd|passwd|visudo"在云环境中最危险的往往不是漏洞本身,而是响应延迟。曾有一次事件响应中,攻击者从首次尝试到植入挖矿程序仅用时8分钟,而传统告警系统的平均响应时间是11分钟。这3分钟的时间差就是安全工程师需要填补的防御真空。