首页 > V2EX > ssh 日志发现从本机暴力登录本机
2024
02-12

ssh 日志发现从本机暴力登录本机

Muslanet:

服务器是本地服务器,ip 为内网 192.168.12.12,已关闭密码登录,22 端口改成了高位。
查看/var/log/auth.log
每三分钟 Invalid user openbravo from 192.168.12.12 port 49136,一直换用不同的用户名和端口

尝试找是否有恶意软件:
1.watch -n 1 'netstat -tnp | grep sshd',确实看到了一个转瞬即逝的进程,截图使用那个 pid 当然已经太晚了查不到该进程。
可以看到的是:
tcp6 0 192.168.12.12:22 192.168.12.12:51128 ESTABLISHED 3399110/sshd: [acce
最后那个显示不全,仅用 netstat 发现就是不全,线索就到这了。

2.问 chatgpt 让使用 auditd 审计日志
auditctl -a exit,always -F arch=b64 -S connect -k ssh_attempt

过段时间再有 ssh 暴力登录,来查看审计结果
ausearch -i -k ssh_attempt

type=PROCTITLE msg=audit(2024 年 02 月 12 日 15:17:57.721:3187) : proctitle=auditctl -a exit,always -F arch=b64 -S connect -k ssh_attempt 
type=SOCKADDR msg=audit(2024 年 02 月 12 日 15:17:57.721:3187) : saddr={ saddr_fam=netlink nlnk-fam=16 nlnk-pid=0 } 
type=SYSCALL msg=audit(2024 年 02 月 12 日 15:17:57.721:3187) : arch=x86_64 syscall=sendto success=yes exit=1068 a0=0x4 a1=0x7fffb7ca6b50 a2=0x42c a3=0x0 items=0 ppid=2374156 pid=2374157 auid=bahtyar uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts4 ses=2818 comm=auditctl exe=/usr/sbin/auditctl subj=unconfined key=(null) 
type=CONFIG_CHANGE msg=audit(2024 年 02 月 12 日 15:17:57.721:3187) : auid=bahtyar ses=2818 subj=unconfined op=add_rule key=ssh_attempt list=exit res=yes

没有捕获到信息,有尝试监听 tcp 建立连接,还是无果。

不是搞安全的,对这一块真是没办法了,谷歌也没找有类似案例,真是哭死。。。直接从内部从登录。另外使用 Fail2ban 黑名单本机 ip 无效,使用 uwf ,uwf 服务没开是不是要换 iptable 啊,有无专业点的老哥给点意见,怎么揪出来这个恶意软件,虽然目前还没被攻破,但是总是不放心

from V2EX-最新主题 https://ift.tt/OaVhNkC
via IFTTT

最后编辑:
作者:分享菌
这个作者貌似有点懒,什么都没有留下。

留下一个回复