【检测SSH攻击】

已于 2023-12-29 10:00:22 修改
阅读量482 收藏 6
点赞数 11
文章标签: linux ubuntu 功能测试
于 2023-12-28 22:25:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52295505/article/details/135279350
版权

检测SSH攻击

检测SSH攻击通常涉及查看和分析SSH服务的日志文件。在大多数Linux系统中,默认的SSH日志文件位于/var/log/auth.log/var/log/secure。以下是几个步骤和示例代码,您可以用来检测设备是否遭受SSH攻击

  1. 检查SSH登录尝试:

可以使用grep命令来搜索失败的登录尝试


		grep "Failed password" /var/log/auth.log

在Linux系统中,grep "Failed password" /var/log/auth.log 命令用于在 /var/log/auth.log 文件中查找包含字符串 “Failed password” 的行。这通常用于查看系统上SSH登录失败的记录。

在安全日志中,“Failed password” 表示一个SSH登录尝试失败。这可能是由于用户输入了错误的密码,或者由于某些其他安全策略导致的拒绝访问。这种信息对于检测潜在的安全威胁很有用,因为它可以指示有人试图非法访问你的系统。

一个典型的相关日志条目可能如下所示:

Dec 26 12:34:56 hostname sshd[12345]: Failed password for user123 from 192.168.1.100 port 22 ssh2

在这个例子中:

  • Dec 26 12:34:56 表示事件发生的日期和时间。
  • hostname 是你的主机名。
  • sshd[12345] 表示SSH守护进程的进程ID。
  • Failed password for user123 表示用户 “user123” 的密码验证失败。
  • from 192.168.1.100 port 22 表示登录尝试来自IP地址为 192.168.1.100 的主机,使用SSH的默认端口 22。
  • ssh2 表示使用SSH协议的版本。

这些日志可以帮助你监视和识别潜在的安全问题,例如暴力破解尝试或未经授权的访问。如果你看到大量的失败登录尝试,可能需要进一步采取措施,例如使用防火墙规则、禁用密码登录、或设置账户锁定策略来增强系统安全性。
或者,如果你的系统将这些日志保存在/var/log/secure

	
		grep "Failed password" /var/log/secure

这将列出所有失败的登录尝试,显示尝试访问的用户名和来源IP地址。

  1. 查找多次失败的尝试:

攻击者在尝试暴力破解SSH密码时通常会有多次失败的尝试。可以使用grep命令和uniq命令组合,来找出频繁失败的IP地址:


grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

这个命令会列出所有失败尝试的次数及其来源IP地址,按尝试次数降序排列。

  1. 分析成功的登录尝试:

即使攻击者没有成功破解密码,他们也可能使用其他方法获得访问权限。查看成功的SSH登录尝试同样重要:


		grep "Accepted password" /var/log/auth.log

或者:


		grep "Accepted password" /var/log/secure

注意成功的登录尝试可能也包含正常用户的登录,因此需要仔细分析。

  1. 实时监控SSH尝试:

实时监控可以帮助你立即发现攻击行为。使用tail -f命令可以实时查看日志:


		tail -f /var/log/auth.log | grep "sshd"
  1. 使用fail2ban增加安全性:

fail2ban是一个防止暴力破解攻击的工具,它监控日志文件并且在检测到多次失败的登录尝试时封锁来源IP地址。


		sudo apt-get install fail2ban

安装后,配置fail2ban的配置文件通常在/etc/fail2ban/jail.conf,可以根据需要进行调整。

  1. ps aux能查看当前运行进程的详细信息,也能检测SSH的攻击

ps aux 命令用于在类Unix操作系统中显示关于当前运行进程的详细信息。以下是输出的列说明:

USER       PID  %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.1  96448  5340 ?        Ss   Dec26   0:03 /usr/lib/systemd/systemd
user      1234  2.5  4.0 123456 78900 pts/0    Sl+  Dec26   2:30 /usr/bin/python3 my_script.py

请注意在USER列 频繁出现sshd时候就说明被攻击!!!

在这个示例中:

  • 第一行代表系统的 init 进程。

  • 第二行代表一个用户运行的Python脚本(my_script.py)。进程ID(PID)是1234,它使用了2.5%的CPU和4.0%的内存等。

  • USER: 拥有该进程的用户。

  • PID: 进程ID,每个进程的唯一标识符。

  • %CPU: 该进程使用的CPU的百分比。

  • %MEM: 该进程使用的RAM(内存)的百分比。

  • VSZ: 该进程的虚拟内存大小,以千字节(KB)为单位。

  • RSS: 常驻集大小,表示进程在RAM中占用的部分,以千字节(KB)为单位。

  • TTY: 与进程相关联的终端类型。

  • STAT: 进程状态。常见值包括:

    • R: 运行中
    • S: 休眠
    • D: 不可中断的休眠(通常是等待磁盘I/O)
    • Z: 僵尸(已终止但尚未从进程表中删除)

  • START: 进程启动时间。

  • TIME: 该进程自启动以来累计使用的CPU时间。

  • COMMAND: 与该进程相关的命令或程序。

请注意,这些措施可以提高系统的安全性,但不能保证绝对的安全性。定期检查系统日志持系统和软件更以安全最佳实践是维护设备安全的重要步骤。

更多内容请在SSH阅读。

Tibetan_Xiang
关注
  • 11
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 801
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
ssh日志审计_linux查看ssh用户登录日志与操作日志
weixin_30140093的博客
01-17 5538
本文章来给各位同学介绍一下关于linux查看ssh用户登录日志与操作日志,登录日志只要在linux中就可以查看了,如果是操作日志我们需要自己先增加,然后再可以直接查看了,下面我都举了实例说明。ssh用户登录日志linux下登录日志在下面的目录里:代码如下cd /var/log查看ssh用户的登录日志:代码如下less secure1. 日志简介日志对于安全来说,非常重要,他记录了系统每天发生的各种...
ssh登录日志分析secure
系统运维博客,分享实用的运维技巧、经验和解决方案。致力于帮助读者解决系统运维中的各种问题,提升运维效率。欢迎关注,共同学习进步!
12-18 653
secure登录日志解析
解析SSH登录日志的奥秘:深入了解日志的形成过程
Lion_Long的博客
12-22 2401
SSH登录日志是维护系统安全、进行故障排除、进行安全审计和监控的重要依据。通过对日志的分析和解读,管理员可以及时发现潜在的安全威胁,防范潜在的入侵,同时也能优化系统性能,保障系统的正常运行。
Linux检测SSH暴力破解攻击与防护功能
weixin_33901641的博客
03-30 760
为什么80%的码农都做不了架构师?>>> ...
WebSSH进阶之实时监控和强制下线
qq_38082146的博客
12-09 534
前几篇文章实现了对物理机、虚拟机以及Kubernetes中Pod的WebSSH操作,可以方便的在web端对系统进行管理,同时也支持对所有操作进行全程录像,以方便后续的查看与审计 这一篇文章接着实现一个看起来很炫酷,但实际上你可能不会经常使用,又必须要存在的功能:实时监控用户操作,在必要的时候将用户踢下线 实时查看操作 django通过channels实现websocket中有一个非常重要的概...
Zabbix 5.0 监控 SSH 登录
哈哈虎的博客
08-11 2450
问题 网上很多关于 SSH 监控的文章,大多监控系统自带的 last 和 lastb 命令的输出,实际分别指向 /var/log/wtmp 和 /var/log/btmp 一般黑客登录 ssh 后 ,会使用工具清除 last 记录,后续查不到 大都输出使用的 agent 方式, 查询最近记录很多很多,而且大量空白或者完全重复记录! 被动方式是从服务端定时发送查询命令,ssh 登录不可能那么频繁! 尽早发现问题后“亡羊补牢”,旨在减少破坏损失,不在阻止破坏 我的设想 使用主动方式的 agent 监控 独
linux 监视ssh登录输出,rtop - 通过SSH监视远程Linux服务器的交互式工具
weixin_42494628的博客
05-12 338
rtop是一个基于SSH的直接和交互式远程系统监控工具 ,它收集并显示重要的系统性能值,如CPU , 磁盘 , 内存和网络指标 。它以Go语言编写,不需要在要监视的服务器上安装任何额外的程序,除了SSH服务器和工作凭据。rtop基本上是通过启动SSH会话,并在远程服务器上执行特定命令来收集各种系统性能信息。一旦建立了SSH会话,它就会每隔几秒(默认为5秒)持续刷新从远程服务器收集的信息,类似于Li...
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3692
windows暴破事件日志
用于ssh文件同步,kotlin
06-24
在IT行业中,SSH(Secure Shell)是一种广泛使用的网络协议...此外,考虑到安全性,务必确保正确处理敏感信息(如密码或私钥),并且遵循最佳实践来避免SSH攻击,例如使用密钥对认证而非纯密码,以及定期更新SSH密钥。
SSH攻击解决方法
03-25
发现自己的LINUX服务器的数据库老是被莫名奇妙地删除,以及发现服务器日志有很多尝试连接失败的日志,网上查了才知道是SSH攻击。据说Fail2Ban很好用,分享一下
SSH协议的中间人攻击研究
09-28
### SSH协议的中间人攻击研究 #### 摘要与背景 随着计算机网络技术的快速发展,尤其是...未来的研究可以进一步探索更先进的加密技术和认证机制,以及如何更有效地检测和防御中间人攻击,这对于维护网络安全至关重要。
SSH源文件.rar
05-30
它的主要功能是通过加密技术确保数据在传输过程中的安全性,防止中间人攻击和数据被窃取。 移植OpenSSH到ARM架构的过程主要包括以下几个步骤: 1. **交叉编译**:由于目标平台(ARM设备)与开发环境(通常是x86或x...
ssh远程连接工具finalshell
07-06
FinalShell集成了SSH客户端和服务器端检测功能,是IT管理员和开发者的理想选择。以下是FinalShell的主要特点: 1. **多平台支持**:FinalShell支持Windows、Mac OS和Linux操作系统,使得跨平台管理变得更加方便。 ...
python企业SSH登陆双因素认证系统
04-21
此外,2FA不应被视为万能解决方案,还应配合其他安全措施,如防火墙规则、入侵检测系统等。 8. 压缩包内容 "python企业SSH登陆双因素认证系统"这个压缩包可能包含以下内容: - 示例代码:展示如何集成Python库...
记一次应急响应之ssh日志和apache2日志分析
千寻的博客
05-25 1891
查看系统情况 0x01 查看端口 netstat -anptl netstat -anptl Proto 协议类型 RecV-Q:表示收到的数据已经在本地接收缓冲,但是还有多少没有被进程取走,如果接收队列RecV-Q一直处于阻塞状态,可能是遭受了拒绝服务denial-of-service攻击。 Send-Q:对方没有收到的数据或者说没有Ack的,还是本地缓冲区。如果发送队列Send-Q不能很快的清零,可能是有应用向外发送数据包过快,或者是对方接收数据包不够快。 Local Address: 本机地址,一般有
Linux - SSH
qq_60271706的博客
07-08 558
它旨在提供两个不受信任的主机之间的安全加密通信通过不安全的网络。selinuxlinux系统里的一套安全机制,用来保护linux系统的安全,会限制进程去做某些对安全有威胁的事情。static:这个 unit 不可以自己启动,不过可能会被其它的 enabled 的服务来唤醒。ssh_config --》ssh命令使用的配置文件 client --》进程:ssh。用来远程控制服务器的和其他网络服务提供安全性的协议。公钥和私钥是一对文件,文件里面是一段字符串,告诉加密算法加密的时候,使用的参数。
系统安全之SSH入侵的检测与响应
缘来侍你的博客
08-02 2832
一、前言 本文介绍了主机安全的ssh端口入侵&检测&响应。 包括以下几个内容 1. 熟练使用hydra、msf等平台对ssh服务开展爆破行为 2. 能够在服务器上找到入侵痕迹包括攻击时间、攻击方式、是否成功攻击源等有价值信息 我们经常会用一些ssh工具直接使用默认端口22,设置记住密码自动登录,但这样如果你的密码不够复杂很容易被攻克 下面我们就来看看ssh攻克的具体方法及解决方式。 二、实验环境 攻击主机ip:192.168.171.130(注:这里用kali虚拟机作为攻击
ssh获取攻击服务器的ip地址
极客栈
04-27 2097
一.设置登录sshd服务的配置: vim /etc/ssh/sshd_config SyslogFacility AUTHPRIV LoginGraceTime 2m PermitRootLogin yes StrictModes yes MaxAuthTries 6 MaxSessions 1 PasswordAuthentication yes 配置好之后,如果有失败的登录会记录到文件/var/log/secure*中 2.查看登录记下来错误的ip more /var/log/secu
fail2ban ssh
最新发布
05-06
fail2ban是一个用于防止暴力破解攻击的开源软件。它监视系统日志文件以查找恶意行为,例如在SSH中使用错误的密码或登录失败。如果它检测到多个失败的尝试,它将动态地更新防火墙规则以禁止来自该IP地址的进一步访问。这可以有效地保护您的服务器免受暴力攻击。 对于SSH,fail2ban通过使用正则表达式来查找日志文件中的登录尝试和失败,并根据您的配置来设置防火墙规则。通过fail2ban,您可以设置允许几次密码输入失败,以及禁止IP地址的时间长度等。 总之,fail2ban是一个非常有用的工具,可以帮助您保护服务器不受暴力破解攻击的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值