1. 从SSH暴力破解日志中追踪入侵者的完整路径那天早上我像往常一样检查服务器日志突然发现auth.log文件大小异常——原本每天只有几百KB的日志一夜之间暴涨到2GB。这明显是遭遇了SSH暴力破解攻击。作为运维老手我立即展开调查下面就把这次应急响应的完整过程分享给大家。SSH暴力破解是服务器最常见的攻击方式之一。黑客会使用自动化工具对服务器的22端口发起海量登录尝试试图通过穷举方式猜解密码。当我们在/var/log/auth.log中看到大量Failed password记录时就说明服务器正在遭受攻击。但真正危险的不是爆破本身而是攻击者成功登录后的后续操作。2. 识别爆破源IP地址2.1 提取失败登录记录首先需要找出所有尝试暴力破解的IP地址。Linux的认证日志通常保存在/var/log/auth.log中老日志可能会被压缩成auth.log.1等格式。我使用以下命令筛选root账户的失败登录记录grep Failed password for root /var/log/auth.log | awk {print $11} | sort | uniq -c | sort -nr这个命令管道做了以下几件事grep筛选出所有root登录失败的记录awk提取第11列通常是源IP地址sort对IP进行排序uniq -c统计每个IP出现的次数sort -nr按尝试次数降序排列2.2 分析爆破IP特征在我的案例中输出结果显示有三个IP在进行爆破142 45.227.253.109 89 185.143.223.41 23 91.234.195.67值得注意的是前两个IP的尝试次数明显多于第三个这种分布很典型——攻击者通常会使用多个服务器同时发起爆破但各IP的尝试次数会有差异。45开头的IP尝试了142次这已经远超正常用户的操作频率。3. 定位成功登录的IP3.1 查找成功登录记录暴力破解的目的就是获取有效登录凭证所以接下来要检查是否有爆破成功的记录grep Accepted password for root /var/log/auth.log | awk {print $11}这条命令会输出所有成功登录root账户的IP地址。在我的日志中只有185.143.223.41这个IP成功登录过。3.2 交叉验证登录行为为了确认这不是正常管理员的登录我进一步检查了登录时间grep Accepted password for root /var/log/auth.log | awk {print $1,$2,$3,$11}结果显示登录发生在凌晨3:27这个时间段我们团队没有人会操作服务器。此外成功登录前该IP有89次失败尝试这基本可以确定是攻击者暴力破解成功。4. 还原攻击者的字典策略4.1 提取尝试过的用户名专业的攻击者不会只爆破root账户他们会准备一个常见用户名列表。我们可以用这个命令查看所有被尝试的用户名grep Failed password /var/log/auth.log | perl -ne print $1\n if /for (.?) from/ | sort | uniq -c | sort -nr输出显示攻击者尝试了这些用户名89 root 42 admin 31 test 28 user 15 oracle4.2 分析字典特征从用户名分布可以看出攻击者使用了典型的暴力破解字典包含默认系统账户root、admin常见测试账户test、user应用默认账户oracle这种组合很常见也提醒我们要避免使用这些简单用户名特别是不要用root直接对外暴露。5. 统计攻击强度和时间分布5.1 计算爆破频率了解攻击强度有助于评估风险程度。我使用这个命令统计每分钟的尝试次数grep Failed password /var/log/auth.log | awk {print $1,$2,$3} | cut -d: -f1,2 | uniq -c输出显示攻击持续了4小时17分钟最高峰时每分钟有12次尝试。这种强度不算特别高但足以说明是自动化工具所为。5.2 绘制攻击时间线将时间戳和IP关联起来可以更清楚看到攻击过程grep Failed password /var/log/auth.log | awk {print $1,$2,$3,$11} | head -20从日志可以看到攻击者先是用45.227.253.109进行试探性爆破30分钟后185.143.223.41加入攻击最终后者爆破成功。这种多IP轮换的策略很常见目的是规避简单的IP封锁。6. 发现隐藏的后门账户6.1 检查新创建的用户攻击者成功登录后第一件事往往是创建后门账户。我检查了用户创建日志grep new user /var/log/auth.log果然发现了一个可疑账户Jul 15 03:31:22 server useradd[28765]: new user: namebackdoor, UID1005, GID1005, home/home/backdoor6.2 分析后门用户权限进一步检查这个账户的详细信息grep backdoor /etc/passwd grep backdoor /etc/shadow发现该用户被加入了sudo组而且密码哈希显示是弱密码。这是典型的后门特征——高权限加弱密码方便攻击者随时回来。7. 应急响应与安全加固确认入侵后我立即采取了以下措施封锁攻击IPiptables -A INPUT -s 185.143.223.41 -j DROP删除后门用户userdel -r backdoor重置所有用户密码配置fail2ban自动封锁暴力破解禁用root直接SSH登录最后我修改了SSH配置/etc/ssh/sshd_configPermitRootLogin no PasswordAuthentication no UsePAM no改用密钥认证彻底杜绝密码爆破的可能。这次事件让我再次认识到安全防护不能只靠边界防御细致的日志监控同样重要。现在我的日常巡检清单中auth.log分析已经成为固定项目。