Bboysoul's Blog

首页 公告 项目 RSS

记录一次ssh密码被爆破

June 14, 2019 本文有 1000 个字 需要花费 2 分钟阅读

概述

事情是这样的,一天登录家里服务器的时候无意间看到了下面

There was 242 failed login attempt since the last successful login.

这个时候我就意识到有人在爆破我的ssh密码了,我的服务器架构是下面这样的

开始我也没有在意,你爆破就爆破吧,反正我也无所谓,但是最后过了好几天,我再去看,,,,,,

这傻逼还在尝试,说真的,大佬你无聊不无聊,没事别玩我啊,所以我就想办法去防御一下了

找到对方的ip

因为是使用frp做内网穿透的,所以在ssh爆破的日志上你是找不到源ip的,所以只能监控阿里云的端口来找到对方的服务器

首先在阿里云的服务器上使用iftop监控好端口

iftop -P -t > 123

-P是监控端口 -t是以文本方式输出,之后把内容输出到123这个文本文件中

这样所有的流量数据都保存下来了,之后我们要做的就是过滤

首先过滤端口

cat 123 |grep -C 2 999

-C 是为了把下一行的ip,也就是来源ip留下来,之后过滤本地的内网ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104

之后过滤自己的ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 自己的ip

过滤掉http和https的

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 自己的ip|grep -v https|grep -v http

过滤家里的对外ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 自己的ip|grep -v https|grep -v http |grep -v 家里的ip

过滤完成之后打开家中的服务器/var/log/secure日志,接着等待对方爆破时候的ip,因为对方的爆破速度很慢一般貌似是一分钟一次,我也不知道他为什么要这么操作一旦日志中出现下面这些日志

Jun 13 16:32:47 bboysoul-nas sshd[4139]: Invalid user kg from 127.0.0.1 port 38714
Jun 13 16:32:47 bboysoul-nas sshd[4139]: input_userauth_request: invalid user kg [preauth]
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): check pass; user unknown
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost
Jun 13 16:32:48 bboysoul-nas sshd[4139]: Failed password for invalid user kg from 127.0.0.1 port 38714 ssh2

我就去看123中新增的ip,最终还是被我找到了

218.108.32.196

之后我在阿里云的机器上把这个ip禁止访问99端口

iptables -I INPUT -s 218.108.32.196 -p TCP --dport 999 -j DROP

信息收集

本来我是想收集这个ip的信息之后看看能不能找到什么的,但是找到一半我意识到了一点,这机器是个肉鸡,我找这台机器的信息没用

第二天

本以为这事情就过去了,但是第二天,又发生了爆破的事情,而且不止一个ip,所以之前的办法就没有用了,我写了一个脚本

#!/bin/bash
while true
do
    netstat -an|grep 999 >> ip.log
    sleep 1
done

就是一秒钟执行netstat -an|grep 999 >> ip.log这个命令一次,之后把所有在999
端口建立过连接的ip都存放到ip.log这个文件中,接着继续使用过滤大法

cat ip.logout|grep -v ":::999" |grep -v 家里ip|grep -v 自己的ip

终于找到了下面这几个ip

DROP       tcp  --  223-197-243-5.static.imsbiz.com  anywhere             tcp dpt:999
DROP       tcp  --  155.ip-37-59-98.eu   anywhere             tcp dpt:999
DROP       tcp  --  103.80.134.82        anywhere             tcp dpt:999
DROP       tcp  --  120.132.117.254      anywhere             tcp dpt:999
DROP       tcp  --  218.108.32.196       anywhere             tcp dpt:999

这下世界终于清静了

欢迎关注我的博客www.bboy.app

Have Fun

Tags:
本站总访问量 本站总访客数
2016 - 2024 Bboysoul