大家好，欢迎来到IT知识分享网。

公网IP属地查询：https://my.ip.cn/

防不胜防！！若要发布应用到公网，切记先要固化服务器，近几天发现大量SSH暴力激活成功教程。

1、登录服务器后，提示：

Last failed login: time from ip on ssh:notty
There were 90 failed login attempts since the last successful login.

意味着要么是被恶意扫描，要么是有人在盯着你。

2、解决方法：

grep “Failed password for invalid user” /var/log/secure | awk ‘{print $13}’ | sort |uniq -c |sort -nr

查询所有登陆失败的ip，将这些ip全部写入到 /etc/hosts.allow文件中，sshd:ip:deny

过程分析如下：

检查系统账号情况：

• SSH端口异常，我们首先有必要先来了解一下系统账号情况：

除root之外，是否还有其它特权用户(uid 为0)

[root@ldap etc]# awk -F: ‘$3==0{print $1}’ /etc/passwd

root

• 可以远程登录的帐号信息

[root@ldap etc]# awk ‘/\$1|\$6/{print $1}’ /etc/shadow

root:$1$G3SJvDCV$/rAxz6CHG5WEjYQXkdJcz.:19562:0:99999:7:::

bennyzhou:$6$BQzM8g8V5MbVqEsB.LlYX2U8HzLQWvs4blOa5xXhESQv76UGIoC5zaTATtHpzCYTmaEsIc3IKind4w/y9HG/:19453:0:99999:7:::

可以确认目前系统可以登录的用户：root和bennyzhou。

接下来，我们想到的是/var/log/secure，这个日志文件记录了验证和授权方面的信息，只要涉及账号和密码的程序都会记录下来。

分析确认攻击情况：

• 统计了下日志，发现大约有5399次登录失败的记录，确认服务器遭受暴力激活成功教程

[root@ldap etc]# grep -o “Failed password” /var/log/secure|uniq -c

5399 Failed password

[root@ldap etc]# awk ‘/\$1|\$6/{print $1}’ /etc/shadow

root:$1$G3SJvDCV$/rAxz6CHG5WEjYQXkdJcz.:19562:0:99999:7:::

bennyzhou:$6$BQzM8g8V5MbVqEsB.LlYX2U8HzLQWvs4blOa5xXhESQv76UGIoC5zaTATtHpzCYTmaEsIc3IKind4w/y9HG/:19453:0:99999:7:::

[root@ldap etc]# grep -o “Failed password” /var/log/secure|uniq -c

5399 Failed password

• 输出登录爆破的第一行和最后一行，确认爆破时间范围：

[root@ldap etc]# grep “Failed password” /var/log/secure|head -1

Jul 23 03:13:19 ldap sshd[11835]: Failed password for root from 143.42.59.184 port 46484 ssh2

[root@ldap etc]# grep “Failed password” /var/log/secure|tail -1

Jul 25 09:43:05 ldap sshd[10013]: Failed password for invalid user ubuntu from 139.162.146.186 port 39836 ssh2

• 进一步定位有哪些IP在爆破？

[root@ldap etc]# grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c | sort -nr

808 143.42.59.184

…..

检查管理员最近登录情况：

• 登录成功的日期、用户名、IP：

[root@ldap etc]# grep “Accepted ” /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’

Jul 23 16:09:26 root 39.144.107.27

Jul 24 09:53:37 root 192.168.1.50

Jul 24 10:54:40 root 192.168.1.1

Jul 24 11:55:56 root 192.168.1.1

Jul 24 14:07:44 root 192.168.1.1

Jul 24 14:47:26 root 192.168.1.1

Jul 24 14:55:10 root 192.168.1.1

Jul 24 15:11:44 root 192.168.1.50

Jul 24 15:12:00 root 192.168.1.50

Jul 24 16:00:35 root 192.168.1.1

Jul 24 16:23:26 root 192.168.1.50

Jul 24 16:23:30 root 192.168.1.50

Jul 24 20:00:25 root 114.84.63.123

Jul 24 20:10:33 root 114.84.63.123

Jul 24 20:22:17 root 114.84.63.123

Jul 24 21:15:47 root 114.84.63.123

Jul 24 21:21:22 root 114.84.63.123

Jul 24 21:22:26 root 114.84.63.123

Jul 24 21:36:46 root 114.84.63.123

Jul 25 09:35:58 root 192.168.1.1

通过登录日志分析，并未发现异常登录时间和登录IP。

• 顺便统计一下登录成功的IP有哪些：

[root@ldap etc]# grep “Accepted ” /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more

7 192.168.1.1

7 114.84.63.123

5 192.168.1.50

1 39.144.107.27

通过日志分析，发现攻击者使用了大量的用户名进行暴力激活成功教程，但从近段时间的系统管理员登录记录来看，并未发现异常登录的情况，需要进一步对网站服务器进行入侵排查，这里就不再阐述。

• 处理措施

SSH暴力激活成功教程依然十分普遍，如何保护服务器不受暴力激活成功教程攻击，总结了几种措施：

1、禁止向公网开放管理端口，若必须开放应限定管理IP地址并加强口令安全审计（口令长度不低于8位，由数字、大小写字母、特殊字符等至少两种以上组合构成）。

2、更改服务器ssh默认端口。

3、部署入侵检测设备，增强安全防护。