記錄一次ssh密碼被爆破

概述

事情是這樣的，一天登陸家裏服務器的時候無心間看到了下面

There was 242 failed login attempt since the last successful login.

這個時候我就意識到有人在爆破個人ssh密碼了，個人服務器架構是下面這樣的

開始我也沒有在乎，你爆破就爆破吧，反正我也無所謂，可是最後過了好幾天，我再去看，，，，，，

這傻逼還在嘗試，說真的，大佬你無聊不無聊，沒事別玩我啊，因此我就想辦法去防護一下了

找到對方的ip

由於是使用frp作內網穿透的，因此在ssh爆破的日誌上你是找不到源ip的，因此只能監控阿里雲的端口來找到對方的服務器

首先在阿里雲的服務器上使用iftop監控好端口

iftop -P -t > 123

-P是監控端口 -t是以文本方式輸出，以後把內容輸出到123這個文本文件中

這樣全部的流量數據都保存下來了，以後咱們要作的就是過濾

首先過濾端口

cat 123 |grep -C 2 999

-C 是爲了把下一行的ip，也就是來源ip留下來，以後過濾本地的內網ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104

以後過濾本身的ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip

過濾掉http和https的

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip|grep -v https|grep -v http

過濾家裏的對外ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip|grep -v https|grep -v http |grep -v 家裏的ip

過濾完成以後打開家中的服務器/var/log/secure日誌，接着等待對方爆破時候的ip,由於對方的爆破速度很慢通常貌似是一分鐘一次，我也不知道他爲何要這麼操做一旦日誌中出現下面這些日誌

Jun 13 16:32:47 bboysoul-nas sshd[4139]: Invalid user kg from 127.0.0.1 port 38714
Jun 13 16:32:47 bboysoul-nas sshd[4139]: input_userauth_request: invalid user kg [preauth]
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): check pass; user unknown
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost
Jun 13 16:32:48 bboysoul-nas sshd[4139]: Failed password for invalid user kg from 127.0.0.1 port 38714 ssh2

我就去看123中新增的ip，最終仍是被我找到了

218.108.32.196

以後我在阿里雲的機器上把這個ip禁止訪問99端口

iptables -I INPUT -s 218.108.32.196 -p TCP --dport 999 -j DROP

信息收集

原本我是想收集這個ip的信息以後看看能不能找到什麼的，可是找到一半我意識到了一點，這機器是個肉雞，我找這臺機器的信息沒用

次日

本覺得這事情就過去了，可是次日，又發生了爆破的事情，並且不止一個ip，因此以前的辦法就沒有用了，我寫了一個腳本

#!/bin/bash
while true
do
    netstat -an|grep 999 >> ip.log
    sleep 1
done

就是一秒鐘執行netstat -an|grep 999 >> ip.log這個命令一次，以後把全部在999 端口創建過鏈接的ip都存放到ip.log這個文件中，接着繼續使用過濾大法

cat ip.logout|grep -v ":::999" |grep -v 家裏ip|grep -v 本身的ip

終於找到了下面這幾個ip

DROP       tcp  --  223-197-243-5.static.imsbiz.com  anywhere             tcp dpt:999
DROP       tcp  --  155.ip-37-59-98.eu   anywhere             tcp dpt:999
DROP       tcp  --  103.80.134.82        anywhere             tcp dpt:999
DROP       tcp  --  120.132.117.254      anywhere             tcp dpt:999
DROP       tcp  --  218.108.32.196       anywhere             tcp dpt:999

這下世界終於清靜了

歡迎關注Bboysoul的博客www.bboysoul.com

Have Fun