实录:公有云环境碰上 SSH 攻击的盛况
背景
香港主力加密代理小鸡,系统自带 Fail2Ban 。虽然说密码强度足够,也未泄露,而且机器对外只提供 SSH 登录和酸酸服务,炸了也不心疼
但是,还是感觉心里发毛,于是大约三天前上了密钥登录,关掉了密码登录
干完这件事之后,我一时兴起,决定看看登录日志,看看 SSH 失败登录的情况到底有多严重
不看不知道,一看吓一跳,只能说这机器活到现在,那个复杂的密码真的是辛苦他了.....
简单统计
统计周期:从 4/30 到今天( 5/10 ),也就是十天左右的时间
- 服务器记录了八万多行的登录日志,按平均一次登录尝试打 5 条 log 算,这十天遭受了超过 1.5 万次的 SSH 爆破
- 用 Python 做了脚本(脚本在文末),简单分析了一下日志,导出并去重之后测出了1644 个尝试用于登录的用户名。这里从文件中列举几个常见的和不常见的:
-
常见的:
root 12345 abc aaa zzz user ftpuser ftpuser1 test nginx linux toor guest admin pi orangepi -
不常见的:
julia jon jvj jiankong miguel pablo riad niklas RYSN_zhongying matheus
还是那个日志,统计了连上来的493 个 IP,择取归属地数量前五的如下:
us 99
cn 70
kr 48
au 33
de 25
举两个例子,美国可能是因为 VPS 较为低价,人们大量购买(建站,加密代理之类的),但安全措施没有做足(简单用户名,简单密码,没有 Fail2Ban 等防护软件 —— 至于你说是不是 22 端口,我感觉关系不大,毕竟 SSH 不防主动探测,换个端口,可能消停两天又开始了),导致成为了别人的肉鸡
至于中国 IP ,从具体属地等信息来看,不乏家宽 IP 。推测除了购买家宽代理之外,也有可能是用户电脑由于安装了各种流氓软件等等原因,成为了人家的肉鸡
众生百态
分析日志让人哑然失笑,此处列举几个登陆攻击的行为,与君共赏——
这是不知所云(非 SSH 请求发到了 SSH 端口)
sshd[895175]: error: kex_exchange_identification: banner line contains invalid characters
sshd[895175]: banner exchange: Connection from 213.*.*.98 port 64661: invalid format
这是知难而退(服务器关闭了密码登录)
sshd[894967]: Received disconnect from 134.*.*.178 port 58562:11: Bye Bye [preauth]
sshd[894967]: Disconnected from authenticating user root 134.*.*.178 port 58562 [preauth]
sshd[894969]: Received disconnect from 192.*.*.50 port 51560:11: Bye Bye [preauth]
sshd[894969]: Disconnected from authenticating user root 192.*.*.50 port 51560 [preauth]
sshd[894971]: Received disconnect from 200.*.*.234 port 51036:11: Bye Bye [preauth]
sshd[894971]: Disconnected from authenticating user root 200.*.*.234 port 51036 [preauth]
这是爱如潮水(注意 IP 和时间)
20:00:23 - sshd[895661]: Invalid user dockeradmin from 144.*.*.23 port 40902
20:00:23 - sshd[895666]: Invalid user ubnt from 144.*.*.23 port 40990
20:00:23 - sshd[895673]: Invalid user steam from 144.*.*.23 port 41008
.....
20:00:23 - sshd[895678]: Invalid user postgres from 144.*.*.23 port 40994
......
20:00:23 - sshd[895659]: Connection closed by invalid user devops 144.*.*.23 port 40862 [preauth]
......
20:00:23 - sshd[895668]: Connection closed by invalid user zjw 144.*.*.23 port 41004 [preauth]
这是锲而不舍(同一用户名不同密码多次登录)
sshd[912780]: Disconnecting authenticating user root 59.*.*.186 port 52862: Too many authentication failures [preauth]
sshd[912782]: error: maximum authentication attempts exceeded for root from 59.102.161.186 port 52911 ssh2 [preauth]
这是老子!
sshd[921821]: Accepted publickey for root from 2409:****:****:**** port 6**** ssh2: RSA SHA256:****....
sshd[921821]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
systemd-logind[331]: New session **** of user root.
后日谈
我感觉,最根本的防止被爆破 SSH 成功的方法只有三个:
- 不允许非授权的 IP 连接
- 使用足够长的私钥(比如 4096Bit )代替密码进行验证
- 不开放 SSH 登录端口(比如,通过 VPN 连入内网环境后再登录)
虽然说这台机器只是酸酸机,但是鬼知道被爆破后会不会变成下一台肉鸡?
世事难料,不如小心行船,方得万年平安
又或许,我可以允许任意用户名通过,然后连上来的用户都用 ASCII 播放一遍鸡你太美?
后附统计脚本
filename = 'auth.log'
for line in open(filename, "r"):
if(line.find('sshd') == -1):
#非 SSHD 日志,跳过
continue
if(line.find('Invalid user') != -1):
#空格分隔后的日志,第五和第七位是用户名和 IP 信息
#实际检测请根据实际情况修改截断格式
print(line.split(" ")[5] + "," + line.split(" ")[7])
深山踏红叶,耳畔闻鹿鸣
全文完,感谢阅读
本文由 vps网友提供,转载请注明出处
本文链接: https://www.vpsvsvps.com/discuss/a/1676472132059533312.html
