记录一次ssh密码被爆破

概述

事情是这样的，一天登陆家里服务器的时候无心间看到了下面

There was 242 failed login attempt since the last successful login.

这个时候我就意识到有人在爆破个人ssh密码了，个人服务器架构是下面这样的

开始我也没有在乎，你爆破就爆破吧，反正我也无所谓，可是最后过了好几天，我再去看，，，，，，

这傻逼还在尝试，说真的，大佬你无聊不无聊，没事别玩我啊，因此我就想办法去防护一下了

找到对方的ip

由于是使用frp作内网穿透的，因此在ssh爆破的日志上你是找不到源ip的，因此只能监控阿里云的端口来找到对方的服务器

首先在阿里云的服务器上使用iftop监控好端口

iftop -P -t > 123

-P是监控端口 -t是以文本方式输出，以后把内容输出到123这个文本文件中

这样全部的流量数据都保存下来了，以后咱们要作的就是过滤

首先过滤端口

cat 123 |grep -C 2 999

-C 是为了把下一行的ip，也就是来源ip留下来，以后过滤本地的内网ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104

以后过滤本身的ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip

过滤掉http和https的

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip|grep -v https|grep -v http

过滤家里的对外ip

cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip|grep -v https|grep -v http |grep -v 家里的ip

过滤完成以后打开家中的服务器/var/log/secure日志，接着等待对方爆破时候的ip,由于对方的爆破速度很慢通常貌似是一分钟一次，我也不知道他为何要这么操做一旦日志中出现下面这些日志

Jun 13 16:32:47 bboysoul-nas sshd[4139]: Invalid user kg from 127.0.0.1 port 38714
Jun 13 16:32:47 bboysoul-nas sshd[4139]: input_userauth_request: invalid user kg [preauth]
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): check pass; user unknown
Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost
Jun 13 16:32:48 bboysoul-nas sshd[4139]: Failed password for invalid user kg from 127.0.0.1 port 38714 ssh2

我就去看123中新增的ip，最终仍是被我找到了

218.108.32.196

以后我在阿里云的机器上把这个ip禁止访问99端口

iptables -I INPUT -s 218.108.32.196 -p TCP --dport 999 -j DROP

信息收集

原本我是想收集这个ip的信息以后看看能不能找到什么的，可是找到一半我意识到了一点，这机器是个肉鸡，我找这台机器的信息没用

次日

本觉得这事情就过去了，可是次日，又发生了爆破的事情，并且不止一个ip，因此以前的办法就没有用了，我写了一个脚本

#!/bin/bash
while true
do
    netstat -an|grep 999 >> ip.log
    sleep 1
done

就是一秒钟执行netstat -an|grep 999 >> ip.log这个命令一次，以后把全部在999 端口创建过链接的ip都存放到ip.log这个文件中，接着继续使用过滤大法

cat ip.logout|grep -v ":::999" |grep -v 家里ip|grep -v 本身的ip

终于找到了下面这几个ip

DROP       tcp  --  223-197-243-5.static.imsbiz.com  anywhere             tcp dpt:999
DROP       tcp  --  155.ip-37-59-98.eu   anywhere             tcp dpt:999
DROP       tcp  --  103.80.134.82        anywhere             tcp dpt:999
DROP       tcp  --  120.132.117.254      anywhere             tcp dpt:999
DROP       tcp  --  218.108.32.196       anywhere             tcp dpt:999

这下世界终于清静了

欢迎关注Bboysoul的博客www.bboysoul.com

Have Fun