如何解決ssh服務(wù)暴力破解告警問(wèn)題

這篇文章主要講解了“如何解決ssh服務(wù)暴力破解告警問(wèn)題”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“如何解決ssh服務(wù)暴力破解告警問(wèn)題”吧！

情況介紹

坐在電腦桌前的我時(shí)常神游四海，在我還是一個(gè)一推就倒的小學(xué)生生涯中，我能否想到日后的工作會(huì)每日與電腦為伍。就在沉溺于幻想無(wú)法自拔的時(shí)候，我方安全工程師于態(tài)勢(shì)感知平臺(tái)發(fā)現(xiàn)我方主機(jī)(IP:10.xx.xx.xx)于2021年3月x日18:30到3月16日6:00對(duì)外網(wǎng)多個(gè)iP進(jìn)行ssh服務(wù)暴力破解行為，態(tài)勢(shì)感知平臺(tái)產(chǎn)生2萬(wàn)余條ssh服務(wù)暴力破解告警。好吧，來(lái)活了！

經(jīng)過(guò)與主機(jī)管理員溝通得知該機(jī)器對(duì)外存在web服務(wù)且ssh端口對(duì)外開(kāi)放，但該端口為了安全考慮修改為了不常使用的大端口5XX22并且設(shè)置了白名單，所以判斷通過(guò)ssh暴力破解拿到系統(tǒng)權(quán)限的概率較小。極大可能是通過(guò)web漏洞進(jìn)行入侵，其他對(duì)外開(kāi)放端口分別為3XX2、4XX2、1XX22、8080。以下進(jìn)入上機(jī)詳細(xì)排查階段：

1. 登錄態(tài)勢(shì)感知平臺(tái)，發(fā)現(xiàn)2萬(wàn)余條對(duì)外ssh暴力破解告警，眾所周知的原因，截圖就暫時(shí)省略：

2. 上機(jī)對(duì)該主機(jī)進(jìn)行檢查，使用uname -a 和cat /proc/version判斷該主機(jī)系統(tǒng)為ubuntu：

3. 查看當(dāng)前登錄用戶，看是否有攻擊者與我們共同登錄同一臺(tái)主機(jī)，發(fā)現(xiàn)只有我自身ssh連接：

4. 對(duì)主機(jī)網(wǎng)絡(luò)連接情況進(jìn)行查看，發(fā)現(xiàn)主機(jī)連接國(guó)外IP，在威脅情報(bào)庫(kù)查看結(jié)果如下：

5. 對(duì)相關(guān)進(jìn)程使用 lsof -p命令進(jìn)行查看，發(fā)現(xiàn)有個(gè)進(jìn)程文件在tmp目錄下，較為可疑：

6. 對(duì)主機(jī)可以登錄的用戶名進(jìn)行檢索，使用命令 cat /etc/passwd | grep "/bin/bash"發(fā)現(xiàn)僅有ubuntu、root賬戶可以登錄:

7. 查看存在管理員權(quán)限的賬戶僅有root:

8. 查看計(jì)劃任務(wù)，發(fā)現(xiàn)可疑點(diǎn)，該計(jì)劃任務(wù)使用了隱藏文件：

9. 查看/tmp目錄下的文件，發(fā)現(xiàn)3個(gè)可疑文件夾，均來(lái)自昨天創(chuàng)建：

10. 對(duì)文件夾下文件內(nèi)容進(jìn)行查看，發(fā)現(xiàn).ts文件里存在對(duì)外爆破的IP地址及字典內(nèi)容，判斷為黑客留在服務(wù)器上的字典、ip列表及腳本：

11. 對(duì).ms文件夾下文件進(jìn)行調(diào)查發(fā)現(xiàn)存在挖礦木馬特征，并有寫(xiě)入計(jì)劃任務(wù)情況如下：

12. 攻擊者入侵本主機(jī)情況調(diào)查，查看登錄成功日志，皆為排查人員登錄：

13. 發(fā)現(xiàn)該主機(jī)曾被外網(wǎng)多個(gè)IP進(jìn)行暴力破解行為：

處置情況

  在進(jìn)行安全處置的過(guò)程中，建議讓主機(jī)管理方在旁邊觀看你的操作，尤其是業(yè)務(wù)主機(jī)（血一般的教訓(xùn)），避免處置過(guò)程中影響正常業(yè)務(wù)，從而被拉入黑名單。

1. 對(duì)連接國(guó)外IP的惡意進(jìn)程進(jìn)行kill

2. 對(duì)計(jì)劃任務(wù)進(jìn)行刪除

安全分析建議

1. 安全分析過(guò)程中對(duì)于挖礦及遠(yuǎn)控情況多使用威脅情報(bào)庫(kù)。

2. 常見(jiàn)的處置命令需要記憶清楚，有的時(shí)候受害主機(jī)無(wú)法提供遠(yuǎn)程環(huán)境，需要真實(shí)上機(jī)的時(shí)候沒(méi)發(fā)翻筆記（主要當(dāng)著甲方面翻筆記會(huì)顯得你菜）

3. 應(yīng)急響應(yīng)這塊推薦一本書(shū)《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實(shí)戰(zhàn)指南》（奇安信看到打錢）

4. 多實(shí)踐，久病成良醫(yī)，被黑客入侵多了，基本上大神應(yīng)急算不上，普通應(yīng)急能力還是會(huì)有所加強(qiáng)滴！

感謝各位的閱讀，以上就是“如何解決ssh服務(wù)暴力破解告警問(wèn)題”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)如何解決ssh服務(wù)暴力破解告警問(wèn)題這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！