监视 SSH 登陆入侵者

最新推荐文章于 2024-07-15 08:45:03 发布
转载 最新推荐文章于 2024-07-15 08:45:03 发布 · 176 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/lvyi/blog/532849
文章标签:

#运维 #php #awk

为什么80%的码农都做不了架构师?>>>   hot3.png

有很多黑客扫描 ssh 端口进而来控制机器,可以写一个分析脚本找出非法入侵的 IP 地址等信息。

##实现

#!/bin/bash

AUTHLOG=/var/log/auth.log

if [[ -n $1 ]];
then
	AUTHLOG=$1
	echo Using Log file : $AUTHLOG
fi

LOG=/tmp/valid.$$.log
grep -v "invalid" $AUTHLOG > $LOG

users=$(grep "Failed password" $LOG | awk '{ print $(NF-5) }' | sort | uniq)
echo $users

printf "%-5s|%-10s|%-10s|%-13s|%-33s|%s\n" "Sr#" "User" "Attempts" "IP Address" "Host_Mapping" "Time range"

ucount=0;

ip_list="$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" $LOG | sort | uniq)"

for ip in $ip_list;
do
	grep $ip $LOG > /tmp/temp.$$.log #某个 IP 地址的 log
	for user in $users;
		do
			grep $user /tmp/temp.$$.log > /tmp/$$.log #某个 user 在这个 IP 登陆的 log
			cut -c-16 /tmp/$$.log > $$.time 
			tstart=$(head -1 $$.time);          #开始时间
			start=$(date -d "$tstart" "+%s");   #开始时间戳
			tend=$(tail -1 $$.time);            #结束时间
			end=$(date -d "$tend" "+%s")        #结束时间戳

			limit=$(( $end - $start )) 

			if [ $limit -gt 120 ];
				then
					let ucount++;

					IP=$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" /tmp/$$.log | head -1 );

					TIME_RANGE="$tstart-->$tend"

					ATTEMPTS=$(cat /tmp/$$.log|wc -l);

					HOST=$(host $IP | awk '{ print $NF }')

				printf "%-5s|%-10s|%-10s|%-13s|%-33s|%s\n" "$ucount" "$user" "$ATTEMPTS" "$IP" "$HOST" "$TIME_RANGE";
			fi
	done
done

rm /tmp/valid.$$.log /tmp/$$.log ./$$.time /tmp/temp.$$.log  2> /dev/null

结果

在本地运行脚本,发现有这么多的扫描次数。

bin mysql root sshd
Sr#  |User      |Attempts  |IP Address   |Host_Mapping                     |Time range
1    |sshd      |5         |0.0.0.0      |3(NXDOMAIN)                      |Nov 17 09:26:17 -->Nov 19 17:12:18 
2    |sshd      |10        |103.226.143.91|3(NXDOMAIN)                      |Nov 16 13:16:24 -->Nov 16 15:08:27 
3    |sshd      |4         |123.151.42.61|3(NXDOMAIN)                      |Nov 18 10:07:30 -->Nov 19 10:07:40 
4    |root      |9         |127.0.0.1    |3(NXDOMAIN)                      |Nov 19 17:02:04 -->Nov 19 17:12:41 
5    |sshd      |26        |127.0.0.1    |3(NXDOMAIN)                      |Nov 19 17:01:21 -->Nov 19 17:12:41 
6    |sshd      |621       |128.134.178.74|3(NXDOMAIN)                      |Nov 17 12:59:03 -->Nov 17 13:15:39 
7    |sshd      |207       |175.100.191.72|3(NXDOMAIN)                      |Nov 17 17:18:14 -->Nov 17 17:20:21 
8    |sshd      |10        |182.243.87.252|3(NXDOMAIN)                      |Nov 19 10:21:55 -->Nov 19 11:49:30 
9    |root      |30        |211.90.87.193|3(NXDOMAIN)                      |Nov 19 11:03:07 -->Nov 19 11:27:40 
10   |sshd      |2140      |211.90.87.193|3(NXDOMAIN)                      |Nov 19 10:55:32 -->Nov 19 11:30:12 
11   |root      |76        |218.1.121.46 |3(NXDOMAIN)                      |Nov 16 20:39:38 -->Nov 16 20:43:02 
12   |sshd      |144       |218.1.121.46 |3(NXDOMAIN)                      |Nov 16 20:39:23 -->Nov 16 20:43:14 
13   |root      |45        |218.87.194.83|3(NXDOMAIN)                      |Nov 17 21:48:26 -->Nov 17 21:57:15 
14   |sshd      |238       |218.87.194.83|3(NXDOMAIN)                      |Nov 17 21:43:18 -->Nov 17 21:57:15 
15   |root      |40        |222.186.15.203|3(NXDOMAIN)                      |Nov 18 12:14:19 -->Nov 18 12:17:58 
16   |sshd      |41        |222.186.15.203|3(NXDOMAIN)                      |Nov 18 12:14:19 -->Nov 18 12:17:58 
17   |sshd      |10        |222.186.15.30|3(NXDOMAIN)                      |Nov 18 16:21:49 -->Nov 18 20:59:28 
18   |root      |164       |222.186.58.134|3(NXDOMAIN)                      |Nov 17 18:52:29 -->Nov 17 19:11:25 
19   |sshd      |164       |222.186.58.134|3(NXDOMAIN)                      |Nov 17 18:52:29 -->Nov 17 19:11:25 
20   |root      |406       |223.194.199.9|3(NXDOMAIN)                      |Nov 17 21:45:36 -->Nov 17 22:04:30 
21   |sshd      |639       |223.194.199.9|3(NXDOMAIN)                      |Nov 17 21:45:25 -->Nov 17 22:04:30 
22   |sshd      |10        |27.200.213.105|3(NXDOMAIN)                      |Nov 16 10:47:42 -->Nov 16 11:04:52 
23   |sshd      |10        |31.180.227.4 |3(NXDOMAIN)                      |Nov 17 22:03:16 -->Nov 17 23:32:16 
24   |bin       |11        |43.248.10.92 |3(NXDOMAIN)                      |Nov 16 17:06:48 -->Nov 18 16:28:58 
25   |root      |1662      |61.147.103.71|3(NXDOMAIN)                      |Nov 17 10:24:37 -->Nov 17 11:13:47 
26   |sshd      |2493      |61.147.103.71|3(NXDOMAIN)                      |Nov 17 10:24:37 -->Nov 17 11:13:47

对策

  • 禁用 SSH 的 root 登陆
  • 把这些地址加入 封禁的 IP 列表
  • 更改 SSH 默认 22 端口
  • 生成高强度的用户密码

更改 /etc/ssh/sshd_config 文件

Port 2222
PermitRootLogin no

参考

http://antivirus.neu.edu.cn/scan/ssh.php

转载于:https://my.oschina.net/lvyi/blog/532849

物联网网络中可解释的深度学习入侵检测An explainable deep learning-enabled intrusion detection framework in IoT networks
风口IT猪的成长录
05-27 369
尽管可解释工智能(XAI)领域近来备受关注,但其在网络安全应用中的实现仍需要进一步研究,以了解其在发现攻击面和向量方面的有效性。在网络防御中,特别是基于异常的入侵检测系统(IDS),。本文提出了一种新颖的可解释的物联网(IoT)网络入侵检测框架。我们开发了一种 IDS,使用短期长记忆 (LSTM) 模型来识别网络攻击并解释模型的决策。
linux ip黑名单,在线IP黑名单地址列表
weixin_29353431的博客
05-05 2660
类别:Linux / 日期:2020-06-26 / 浏览:1262 / 评论:0 中国科学技术大学是中国科学院所属的一所以前沿科学和高新技术为主,兼有医学、特色管理和文学科的综合性全国重点大学。#http://blackip.ustc.edu.cn/2015.07.14集成东北大学黑名单(http://antivirus.neu.edu.cn/scan/ssh.php)2018.03.10...
linux下监控并实现记录ssh登录密码
2ed
12-27 2878
测试环境: Linux 2.6.32-754.25.1.el6.x86_64 CentOS release 6.10 (Final) 首先安装systemtap这个包 原理主要是对PAM模块pam_unix.so库文件的函数调用进行捕获,因为用户登录认证需要使用pam_unix.so库文件。 yum --releasever=6.4 update yum install -y ...
linux 监视ssh登录输出,适用于Linux的SSH登录监视器”
weixin_35859336的博客
05-12 366
保罗汤布林有正确的建议。设置日志记录在你的sshd_config指向一个syslog工具,你可以分别登录:=>见3系统日志的更多的设施。选择一个像例如# LoggingSyslogFacility local5LogLevel INFO然后设置你的syslog.conf这样的:local5.info |/var/run/mysshwatcher.pipe添加你要写入/ etc/initta...
linux 监视ssh登录输出,rtop - 通过SSH监视远程Linux服务器的交互式工具
weixin_42494628的博客
05-12 411
rtop是一个基于SSH的直接和交互式远程系统监控工具 ,它收集并显示重要的系统性能值,如CPU , 磁盘 , 内存和网络指标 。它以Go语言编写,不需要在要监视的服务器上安装任何额外的程序,除了SSH服务器和工作凭据。rtop基本上是通过启动SSH会话,并在远程服务器上执行特定命令来收集各种系统性能信息。一旦建立了SSH会话,它就会每隔几秒(默认为5秒)持续刷新从远程服务器收集的信息,类似于Li...
auth.log日志查看
weixin_34336526的博客
02-08 5679
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables与fail2ban联动实现SSH入侵防御
SSH入侵防御概述 ## 1.1 SSH入侵的风险与影响 SSH(Secure Shell)是一种常用的远程管理协议,用于在网络上进行安全的远程登录和文件传输。然而,由于SSH服务广泛使用,并且常常是黑客攻击的目标,因此SSH入侵成为...
基于Fail2ban及iptables的SSH端口爆破防御方案
最新发布
钟言的博客
07-15 3155
本篇为基于Fail2ban及iptables的SSH端口爆破防御方案,详细内容包含了:、本篇介绍 Fail2ban 1、简介 2、工作方式 3、优缺点 4、工作原理 5、目录结构 6、功能特点 更改默认SSH端口 1、更改配置文件 2、重启服务 四、SSH日志审计 1、连接失败的IP 2、失败IP次数排行 3、连接成功的IP 4、成功IP次数排行 五、Fail2ban1、安装 2、配置 3、日志查看4、命令补充 5、与1panel联动配置 六、蜜罐伪造22端口等内容。
牛掰!SSH端口嗅探方法及其防御技术
Appleteachers的博客
05-05 1609
SSH端口嗅探方法及其防御技术 众所周知,SSH是一种安全的网络协议,在本质上是安全的,不会受到网络数据包嗅探和窃听的威胁,因为该协议应用了加密技术。如果我们安全地使用SSH协议,那么遭受中间攻击的风险确实是很小的。 然而,这并不意味着SSH是100%安全的,也无法防御所有的嗅探攻击。我们通过SSH连接到服务器时,并不意味着没有可以看到我们正在做什么。 这篇文章的主题是关于SSH会话嗅探、SSH窥探、SSH间谍的,或者您随便怎么称呼它都可以。虽然这不是什么新鲜技术,并且已经存在了很长时间,但时常回顾一下
实时监控Linux SSH连接:SSH活动监控的权威教程
![实时监控Linux SSH连接:SSH活动监控的权威教程]...本章将深入探讨SSH连接的基
通过密钥SSH远程监控Linux
smooth的博客
06-27 4918
目前远程监控Linux的连接方式是SSH、SNMP、Telnet,最常见的方式是通过SSH,由于安全考虑,实际用户环境很多情况是需要通过SSH公共/私有密钥的方式连接Linux系统,而且还禁止root用户连接。所以掌握这块的技巧很有必要,只要回避几个容易踩坑的地方就能轻松实现。1、生成密钥对网上对于制作密钥的方式五花八门,其实很简单,就是分为linux下产生密钥,还是Windows下产生密钥,无论...
LINUX SSH 管理与监控
citelao的博客
03-21 1290
LINUX SSH 管理与监控 网络上的服务器很容易受到攻击,最惨的就是被登录并拿到root权限。有几个简单的防御措施:  1. 修改ssh服务的默认端口。 ssh服务的默认端口是22,一般的恶意用户也往往扫描或尝试连接22端口。所以第一步就是修改这个默认端口 打开/etc/ssh/sshd_config,找到 Port 22 然后将22修改为其它没有被占用的端口,如1022。最好在
监控服务器ssh登录,并发送报警邮件
yaohong
01-29 3683
 最近想监控下云主机的ssh登录情况,所以开始写ssh登录报警监控。实现方式并不难。 一:邮箱申请开启SMTP        在邮箱中选择“设置”----->“账户”            在如下图处开启POP3/SMTP服务,并生成授权码。       二:修改相关参数    登录要进行ssh登录监控的服务器,在/etc/ssh创建"sshrc"文件: #!/...
Zabbix 5.0 监控 SSH 登录
哈哈虎的博客
08-11 2807
问题 网上很多关于 SSH 监控的文章,大多监控系统自带的 last 和 lastb 命令的输出,实际分别指向 /var/log/wtmp 和 /var/log/btmp 一般黑客登录 ssh 后 ,会使用工具清除 last 记录,后续查不到 大都输出使用的 agent 方式, 查询最近记录很多很多,而且大量空白或者完全重复记录! 被动方式是从服务端定时发送查询命令,ssh 登录不可能那么频繁! 尽早发现问题后“亡羊补牢”,旨在减少破坏损失,不在阻止破坏 我的设想 使用主动方式的 agent 监控
系统安全之SSH入侵的检测与响应
缘来侍你的博客
08-02 3098
一、前言 本文介绍了主机安全的ssh端口入侵&检测&响应。 包括以下几个内容 1. 熟练使用hydra、msf等平台对ssh服务开展爆破行为 2. 能够在服务器上找到入侵痕迹包括攻击时间、攻击方式、是否成功、攻击源等有价值信息 我们经常会用一些ssh工具直接使用默认端口22,设置记住密码自动登录,但这样如果你的密码不够复杂很容易被攻克 下面我们就来看看ssh攻克的具体方法及解决方式。 二、实验环境 攻击主机ip:192.168.171.130(注:这里用kali虚拟机作为攻击
日志提权 /var/log/auth.log
m0_57221101的博客
03-27 4182
首先介绍一下这个日志,这个是ssh登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。 这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 . ## 利用方法 之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在 那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执
ssh登陆触发钉钉预警
神镖
11-18 933
工作中我们需要对特定的某些机器做登陆用户的监控,以做到公司外的ip访问进来时,我们可以接到消息。比如说我们对堡垒机做登陆监控,那么就需要在/etc/ssh/sshrc文件中写入脚本,当有用户登陆的时候就触发钉钉消息。 创建文件/etc/ssh/sshrc,写入如下内容: #!/bin/bash #获取登录者的用户名 user=$USER #获取登录者的IP地址 ip=${SSH_CLIENT%% ...
使用SSHScan扫描破解ssh密码
weixin_33743703的博客
10-25 2112
概述 SSHScan是一个枚举SSH密码的测试工具。使用SSHScan,可以轻松检测到弱密码。 工具地址 https://github.com/evict/SSHScan 使用 首先打开kali 之后下载工具git clone https://github.com/evict/SSHScan.git 给工具添加可执行权限...
网络卫士入侵防御系统管理与工作状态指南
在管理方式部分,网络卫士入侵防御系统提供了多种管理途径,包括本地通过CONSOLE口进行管理,以及远程管理如WEBUI(Web用户界面)、SSH(Secure Shell)和TELNET。对于初次使用者,可以通过CONSOLE口以命令行方式或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值