记录一次ssh密码被爆破

概述

事情是这样的，一天登录家里服务器的时候无意间看到了下面

There was 242 failed login attempt since the last successful login.

这个时候我就意识到有人在爆破我的ssh密码了，我的服务器架构是下面这样的

image

开始我也没有在意，你爆破就爆破吧，反正我也无所谓，但是最后过了好几天，我再去看，，，，，，

这傻逼还在尝试，说真的，大佬你无聊不无聊，没事别玩我啊，所以我就想办法去防御一下了

找到对方的ip

因为是使用frp做内网穿透的，所以在ssh爆破的日志上你是找不到源ip的，所以只能监控阿里云的端口来找到对方的服务器

首先在阿里云的服务器上使用iftop监控好端口

iftop -P -t > 123

-P是监控端口 -t是以文本方式输出，之后把内容输出到123这个文本文件中

这样所有的流量数据都保存下来了，之后我们要做的就是过滤

首先过滤端口

cat 123 |grep -C 2 999

-C 是为了把下一行的ip，也就是来源ip留下来，之后过滤本地的内网ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104

之后过滤自己的ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 自己的ip

过滤掉http和https的

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 自己的ip|grep -v https|grep -v http

过滤家里的对外ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 自己的ip|grep -v https|grep -v http |grep -v 家里的ip

过滤完成之后打开家中的服务器/var/log/secure日志，接着等待对方爆破时候的ip,因为对方的爆破速度很慢一般貌似是一分钟一次，我也不知道他为什么要这么操作一旦日志中出现下面这些日志

Jun 13 16:32:47 bboysoul-nas sshd[4139]: Invalid user kg from 127.0.0.1 port 38714
Jun 13 16:32:47 bboysoul-nas sshd[4139]: input_userauth_request: invalid user kg [preauth]
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): check pass; user unknown
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost
Jun 13 16:32:48 bboysoul-nas sshd[4139]: Failed password for invalid user kg from 127.0.0.1 port 38714 ssh2

我就去看123中新增的ip，最终还是被我找到了

218.108.32.196

之后我在阿里云的机器上把这个ip禁止访问99端口

iptables -I INPUT -s 218.108.32.196 -p TCP --dport 999 -j DROP

信息收集

本来我是想收集这个ip的信息之后看看能不能找到什么的，但是找到一半我意识到了一点，这机器是个肉鸡，我找这台机器的信息没用

第二天

本以为这事情就过去了，但是第二天，又发生了爆破的事情，而且不止一个ip，所以之前的办法就没有用了，我写了一个脚本

#!/bin/bash
while true
do
    netstat -an|grep 999 >> ip.log
    sleep 1
done

就是一秒钟执行netstat -an|grep 999 >> ip.log这个命令一次，之后把所有在999
端口建立过连接的ip都存放到ip.log这个文件中，接着继续使用过滤大法

cat ip.logout|grep -v ":::999" |grep -v 家里ip|grep -v 自己的ip

终于找到了下面这几个ip

DROP       tcp  --  223-197-243-5.static.imsbiz.com  anywhere             tcp dpt:999
DROP       tcp  --  155.ip-37-59-98.eu   anywhere             tcp dpt:999
DROP       tcp  --  103.80.134.82        anywhere             tcp dpt:999
DROP       tcp  --  120.132.117.254      anywhere             tcp dpt:999
DROP       tcp  --  218.108.32.196       anywhere             tcp dpt:999

这下世界终于清静了

欢迎关注Bboysoul的博客www.bboysoul.com

Have Fun