前往小程序,Get更优阅读体验!
立即前往
发布
社区首页 >专栏 >linux中ssh被爆破的应急响应

linux中ssh被爆破的应急响应

作者头像
ICT系统集成阿祥
发布2024-12-03 16:20:07
发布2024-12-03 16:20:07
940
举报
文章被收录于专栏:数通
代码语言:javascript
复制
除root之外,是否还有其它特权用户(uid 为0)。正常情况下不能再有其它特权用户
[root@Practice_Server ~]# awk -F: '$3==0{print $1}' /etc/passwd
root
代码语言:javascript
复制
可以远程登录的帐号信息
[root@Practice_Server ~]# awk '/\$1|\$6/{print $1}' /etc/shadow
root:$6$kNuIN5uRF9pC34Yr$tBDJV8PJRdCMAjVsdVX3fPqGox.W41E3pr5m/CWt208nzOWgk.HOf4/Euby99jIwgyK.regsRKU0L8raDubMO/::0:99999:7:::

/var/log/secure,这个日志文件记录了验证和授权方面的信息,只要涉及账号和密码的程序都会记录下来。

代码语言:javascript
复制
统计了下日志,发现登录失败的记录
[root@Practice_Server ~]# grep -o "Failed password" /var/log/secure|uniq -c
代码语言:javascript
复制
输出登录爆破的第一行和最后一行,确认爆破时间范围:
[root@Practice_Server ~]# grep "Failed password" /var/log/secure
Mar 31 17:27:01 Practice_Server sshd[7417]: Failed password for root from 192.168.110.178 port 57972 ssh2
Mar 31 17:27:19 Practice_Server sshd[7417]: Failed password for root from 192.168.110.178 port 57972 ssh2
Mar 31 17:28:50 Practice_Server sshd[7417]: Failed password for root from 192.168.110.178 port 57972 ssh2
[root@Practice_Server ~]# grep "Failed password" /var/log/secure|head -1
Mar 31 17:27:01 Practice_Server sshd[7417]: Failed password for root from 192.168.110.178 port 57972 ssh2
[root@Practice_Server ~]# grep "Failed password" /var/log/secure|tail  -1
Mar 31 17:28:50 Practice_Server sshd[7417]: Failed password for root from 192.168.110.178 port 57972 ssh2
代码语言:javascript
复制
进一步定位有哪些IP在爆破?
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
代码语言:javascript
复制
爆破用户名字典都有哪些?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/;print "$1\n";}'|uniq -c|sort -nr

这个需要有perl环境。安装perl支持

代码语言:javascript
复制
yum install perl
yum install cpan  #perl需要的程序库,需要cpan的支持
代码语言:javascript
复制
登录成功的日期、用户名、IP:
[root@Practice_Server ~]# grep "Accepted " /var/log/secure|awk '{print $1,$2,$3,$9,$11}'
Mar 31 17:16:59 root 192.168.110.178
Mar 31 17:19:06 root 192.168.110.178
代码语言:javascript
复制
统计一下登录成功的IP有哪些
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr| more

处理措施

  1. 禁止向公网开放管理端口,若必须开放应限定管理IP地址并加强口令安全审计(口令长度不低于8位,由数字、大小写字母、特殊字符等至少两种以上组合构成)。
  2. 更改服务器ssh默认端口。
  3. 部署入侵检测设备,增强安全防护。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-04-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 ICT系统集成阿祥 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档