Linux的ssh被爆破的应急处理!

于 2025-06-24 08:30:44 发布
阅读量353 收藏 10
点赞数 4
CC 4.0 BY-SA版权
文章标签: linux ssh 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32360593/article/details/148882984

如今云、大数据、AI时代,网络安全形势严峻,服务面临各种安全挑战,而网络工程师在运维时自然也面临了不少压力。以下是针对Linux系统SSH服务遭受暴力破解攻击的标准化应急处理流程,结合威胁遏制、溯源分析与加固防护三阶段设计,确保高效响应与系统安全恢复。希望能给初学者们带来帮助!

🔍 一、攻击确认与快速封堵

1、定位攻击源IP

  • 查看SSH登录失败日志,统计高频攻击IP:

grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10

输出示例:  248624 158.178.141.69 表示IP 158.178.141.69 尝试登录失败24万次。

  • 检查异常登录成功的IP:

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c

2、立即封禁攻击IP

  • 防火墙封堵(推荐):

iptables -I INPUT -s <恶意IP> -j DROP  # 单IP封禁iptables -I INPUT -s 221.0.0.0/8 -j DROP  # 封禁整个C段

持久化规则:iptables-save > /etc/sysconfig/iptables。

  • 黑名单文件封堵:

编辑 /etc/hosts.deny,添加:sshd: <恶意IP> 或 sshd: all:deny(全局禁止,需搭配白名单使用)。

注意:若/etc/hosts.deny失效,需检查是否安装tcp_wrappers库(yum install tcp_wrappers)。

🕵️ 二、入侵痕迹排查

1、账户安全审计

  • 检查特权账户(UID=0):

awk -F: '$3==0 {print $1}' /etc/passwd

非root账户若拥有UID=0则异常。

  • 查看可远程登录的账户:

awk -F: '$1 !~ /^root$/ && $6 != "" {print $1}' /etc/shadow

2、后门与恶意进程检测

  • 检查SSH授权密钥:

cat ~/.ssh/authorized_keys  # 重点排查新增未授权公钥

  • 挖掘隐藏进程(如挖矿程序):

sysdig -c topprocs_cpu  # 显示CPU占用最高的进程unhide proc  # 检测隐藏进程

  • 分析定时任务:

cat /etc/crontab  # 检查恶意任务(如自动启动木马)crontab -l -u root  # 查看root用户计划任务

🛡️ 三、系统加固与防护升级

1、SSH服务强化

措施

操作命令/文件

作用

修改默认端口

vim /etc/ssh/sshd_config → Port 5022

避开自动化扫描工具

禁止root密码登录

同一文件内设置 PermitRootLogin no

强制攻击者破解普通账户

启用密钥认证

设置 PasswordAuthentication no

彻底禁用密码登录

限制登录IP范围AllowUsers user1@192.168.1.0/24

仅允许可信网络访问

2、部署自动化防御工具

  • Fail2ban自动封禁:

# 安装与配置yum install fail2ban  # 或 apt install fail2banvim /etc/fail2ban/jail.local  # 添加:[sshd]enabled = truemaxretry = 5       # 5次失败后封禁findtime = 600      # 10分钟内触发bantime = 604800    # 封禁7天

启动服务:systemctl enable --now fail2ban。

  • 白名单机制:

编辑 /etc/hosts.allow,添加可信IP:sshd: 192.168.1.*,优先级高于hosts.deny。

⚠️ 四、事后监控与复盘

1、日志持续审计

  • 实时监控SSH日志:tail -f /var/log/secure。

  • 分析攻击时间线:

grep "Failed password" /var/log/secure | head -1  # 首次攻击时间grep "Failed password" /var/log/secure | tail -1  # 最近攻击时间

2、安全基线优化

  • 启用防火墙:systemctl enable --now firewalld,并配置仅开放必要端口。

  • 定期更新系统:yum update -y 修补已知漏洞。

  • 配置登录告警:通过Logwatch或云平台告警推送实时通知异常登录。

💎 总结:应急流程图

关键原则:

✅ 快速阻断优先:第一时间切断攻击路径(IP封禁+服务加固)。

✅ 纵深防御:结合防火墙、Fail2ban、密钥认证多层防护。

✅ 最小权限:限制账户、端口与IP访问范围,降低攻击面。

✅ 持续审计:日志分析+实时监控,早发现早处置。

不想错过文章内容?读完请点一下“在看图片,加个关注”,您的支持是我创作的动力

期待您的一键三连支持(点赞、在看、分享~)

博客
22张图带你了解IP地址有什么作用
08-04 3
不同楼就相当于网络号,有不同的标识,而同一栋楼的有很多住户,每个住户的门牌号都是不一样的,不会有重复,这样就方便定位了。,那么数据通信A与B之间其实是可以直接通信的,有可能B的数据发送了广播报文的,导致A收到了,同样A发送的某些数据包,B也收到了,对于这样的场景,可能客户为了安全性就会选择去其他运营商购买,并且要求独立的网段,这问题对于运营商来说就头疼了,一个C内网段最少也有254个地址,一个公司有又不需要购买这么多,一部分给A,一个部分给B呢,又说不安全,空着吧,又浪费了。
博客
收藏!企业遭遇勒索病毒攻击?这份应急响应实战指南请收好!(文末赠书)
08-01 14
想象一下,周一早上你刚到办公室,打开电脑却发现桌面变成了一片"血红色",所有文件都无法打开,屏幕上赫然显示着"Your files have been encrypted!据统计,勒索病毒已成为企业面临的头号网络威胁,平均每11秒就有一个企业遭受攻击。通过以上实战命令,我们掌握了勒索病毒应急响应的核心技术。四、样本分析:恶意代码检测。五、内存取证:高级分析技术。六、系统加固:防护命令实战。七、监控告警:自动化脚本。
博客
小心!“赚钱路由器” 背后的坑
07-31 450
当邻居也想看同一部剧时,不用再去遥远的服务器下载,直接从你手机里取数据 —— 这就是 PCDN 的核心逻辑:把每个用户的设备变成小型 “数据中转站”。最近不少网友反映,家里的宽带突然变卡,联系运营商维修后才发现 —— 罪魁祸首竟是那个号称 “能赚电费” 的路由器。:传统 CDN 需要租用运营商的机房和高价带宽,PCDN 却把 “节点” 建在用户家里,直接让运营商少了一块肥肉。就像网友调侃的:“你用着运营商的网,帮别人赚运营商的钱,还占用运营商的资源 —— 这不被封杀才怪!简单说就是 “共享带宽赚钱”
博客
揭秘 Linux 网卡混杂模式:想学就看这篇指南
07-30 20
经常在技术论坛看到有人问:“开启网卡混杂模式算不算黑客行为?混杂模式只是 Linux 网卡的一种工作状态,就像手机的 “飞行模式” 一样,关键在于怎么用。用途场景:混杂模式常用于网络抓包(如 Wireshark、tcpdump)、网络监控或入侵检测系统(IDS)。网络管理工具(如 Netplan、NetworkManager)通常不支持直接配置混杂模式。通过上述步骤,您可以灵活地管理网卡的混杂模式。在混杂模式下,网卡会捕获所有经过网络的流量(而不仅是目标为本机的数据包)。确认要设置的网卡名称(如。
博客
11款网络监控工具网络监控工具哪家强?各自优势对比,有免费工具,并附下载链接!
07-29 794
硬件健康监控 → Observium:自动识别设备传感器,运维省心。传感器模型灵活:预置500+传感器(如带宽、CPU、Ping),拖拽式仪表盘搭建。Grafana 提供 90+ 数据源支持,可定制动态仪表盘(如实时流量热力图、集群健康雷达图)。集成网络设备、服务器、应用性能(APM)、流量分析(NetFlow)于一体。免费版(100传感器)+ 付费版(按传感器数量阶梯计价,$1600/年起)。按节点/功能模块收费,入门版超$3000,大型部署可达数十万美元。
博客
火绒安全软件能保护windows么
07-28 506
火绒安全软件是一款中国本土开发的免费安全软件,主打“轻量、干净、无广告”,在用户口碑中表现良好。• 对安全性要求极高的用户,建议搭配Windows Defender或国际杀软(如卡巴斯基免费版)使用。• 企业用户建议考虑更专业的端点防护方案(如奇安信、深信服等国产企业级产品)。• 内存占用小(通常<50MB),对系统性能影响极低,适合老旧电脑。
博客
Windows系统入侵痕迹自查指南
07-25 70
当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性。查看是否有异常端口开放(如 4444、5555 等常见后门端口)。(微软 Sysinternals 工具):检查所有自启动项。• 来自异常 IP 的登录(如国外 IP)。查看是否有异常 IP 连接(如境外 IP)。• 大量失败的登录尝试(可能为暴力破解)。异常小(如几 KB),可能被清理。(内存取证):分析内存中的恶意进程。
博客
【案例实战】系统信息安全与管理
07-24 26
以上是本次实战的任务描述和要求,下面我将分析本次实战的操作过程,这是整个实战内容的第3部分,其他2部分后面会进行分享,希望对大家有一定的帮助。包括了实战环境说明、系统安装与配置、DNS配置、CA配置、https配置、mysql服务配置、WordPress站点搭建、NFS服务配置、(解释:每分钟执行一次,每次执行脚本后休眠 20 秒,再执行,共 3 次,实现 “每分钟检查 3 次”)通过另一终端尝试 SSH 登录,输入错误密码 3 次,确认被拒绝。:监控 “写操作(w)” 和 “属性修改(a)”
博客
一款有意思的监控平台,工匠之心,独具风格,眼前一亮!
07-23 39
这些设计也符合日常运维工作的处理流程,比如“告警确认”功能,当告警发生了,我们首先需要“确认”,就是“我知道了,别在发告警了”平台便不会再推送这个告警,只计算“持续时间”。从“基础配置管理”开始,按照设计逻辑,一步一步的往下走即可,对使用者非常友好,每个功能,都是有引导步骤,操作非常好友,大大降低了平台的使用难度,能够节约很多学习时间。.如果嫌阿里云,腾讯云的贵,这个就很Nice了,支持集群拨测,具备拨测的基础功能,满足一般网站的监测,足够用了。学习成本,实施成本,后期维护成本,都很低。
博客
交换机能替代路由器吗?
07-22 376
若PC1(192.168.1.10)与PC2(192.168.2.20)在不同子网,交换机因无法识别IP路由规则,导致通信完全中断 ‌。路由器提供多样化的广域网接口(如光纤、ADSL),支持PPPoE拨号等协议;高效处理不同VLAN或子网间的通信(如VLAN 10与VLAN 20互访),性能优于传统路由器。家庭宽带中,将手机/电脑的私有IP(如192.168.1.10)转换为公网IP访问互联网。‌跨网段路由数据包,连接不同网络(如局域网与互联网)‌。‌,无法过滤恶意流量,网络安全风险高 ‌。
博客
网络协议,生活具象化比喻,看一次笑一次
07-22 39
不想错过文章内容?读完请点一下“在看”,加个“关注”,您的支持是我创作的动力期待您的一键三连支持(点赞、在看、分享~)
博客
Windows系统这些关键目录,你最好需要知道一点!
07-18 88
Windows 操作系统中包含许多重要的系统目录,这些目录存放了操作系统、程序文件、用户数据以及临时文件等。隐藏目录:许多系统目录默认隐藏,需在文件资源管理器中启用“显示隐藏的文件/文件夹”。(Windows Side-by-Side):存储系统组件的多个版本,用于兼容性。Windows 系统的核心目录,包含系统文件、驱动程序、DLL 库等。存储所有用户共享的应用程序数据(如软件配置、缓存等)。所有用户共享的公共文件夹(如共享文档、桌面等)。:低权限程序数据(如浏览器临时文件)。
博客
CentOS7止维护满一年,国产操作系统到底怎么样了呢?
07-17 978
深度优化内核性能,提供热补丁升级(Live Patching),减少业务中断风险。兼容CentOS生态,提供迁移工具链(如chameleon),支持一键式应用迁移。类macOS界面设计,预装Wine兼容层支持Windows应用(如微信、WPS)。银河麒麟面向军民融合场景,支持高可用集群和国产中间件(如金蝶、达梦数据库)。开源社区治理,支持鲲鹏、飞腾等国产CPU架构,通过公安部等保四级认证。麟V10强化安全隔离机制(如强制访问控制),适配龙芯、申威等国产芯片。
博客
实际中,出口路由器是如何对接到互联网的(DHCP方式)
07-16 58
很多书籍或者视频里面会把互联网用很多设备来进行模拟,但是实际中,我们通常作为企业网的部署与搭建,从运营商那边购买了宽带线路,不管是用PPPOE、DHCP、专线哪种对接方式,运营商都会把数据打通,至于他们是如何打通以及内网怎么运作的,作为我们来说是不需要去关心的,同样的,运营商那边把宽带拉到对应点位后,测试没问题,他们安排的师傅就会跟企业的IT负责人验收好,然后就走人了,他们也不会去关心你企业网内部是如何运作的,这个就是现实中的情况。(实际中我们打开网页就是需要DNS,这里模拟的更加真实)
博客
交换机的堆叠、集群、链路聚合的作用和区别是什么?
07-15 319
交换机堆叠(Stacking)、集群(Clustering)和链路聚合(Link Aggregation)是提升网络性能、可靠性和可管理性的核心技术,但其设计目标、实现方式和适用场景存在本质差异。将多个物理端口绑定为单一逻辑端口(如Eth-Trunk),成倍提升链路带宽(例如4条千兆链路聚合为4Gbps)。多台高端交换机(如框式设备)通过高速互联(如40G光纤)组成逻辑系统,独立运行但协同转发。办公楼每层部署1台接入交换机,通过堆叠统一管理,支持跨设备链路聚合(如MLAG)。
博客
CentOS系统安全配置防御维度
07-14 31
通过以上全面的安全配置,可以显著提高CentOS系统的安全性。建议在实施前在测试环境验证,并确保有完整的备份和回滚方案。,通过多层次防护措施降低系统被攻击的风险,确保数据和服务的安全性、完整性和可用性。
博客
我整理的Wireshark实战技巧,网络问题秒解决!
07-11 107
Wireshark 作为网络分析的瑞士军刀,其强大之处不仅在于功能丰富,更在于它让我们能够"看见"网络通信的每一个细节。从基础的过滤器开始,逐步深入到协议分析和安全检测,相信你也能成为网络分析高手!解决:Edit → Preferences → Protocols → HTTP → 设置字符编码为 UTF-8。这时候,Wireshark 就成了我们的"火眼金睛",能够透视网络流量的每一个细节。
博客
HW-2025防守技战法写作全攻略
07-10 539
每年HW行动,蓝队兄弟们熬夜守防线、封IP、加策略,忙得团团转,但事后复盘时却发现:同样的攻击手法反复中招,相似的漏洞反复被突破。技战法不仅是“事件复盘报告”,更是将零星防御经验转化为可复用、可传承的战术资产,直接提升团队攻防效率。团队协作:攻击者是“军团”,防守者需共享技战法(如建立企业内部“防御战术百科”)。答案藏在“技战法”里——红队有“攻击战术库”,蓝队更需要“防御技战法”!注意:区分“临时措施”和“长期策略”,技战法需聚焦可复用的防御逻辑。今天你写的每一篇技战法,都是明天少熬的一夜、少丢的一分。
博客
8种常见协议工作流程图,这是我见过最牛的了!
07-09 71
HTTP/1.1默认复用TCP连接(Connection: keep-alive),非持久连接则关闭TCP(四次挥手)。客户端构造HTTP请求报文(含请求行、请求头、请求体),如GET /index.html HTTP/1.1。它是网络数据交换的基础,也是一种客户端-服务器协议。服务器解析请求→执行业务逻辑→返回响应报文(含状态行、响应头、响应体),如200 OK。客户端与服务器建立TCP连接(21端口)→身份验证(USER/PASS)。发送LIST(列目录)、RETR(下载)、STOR(上传)等命令。
博客
【Tools】IP封禁太繁琐?告别手动封禁,蓝队必备 高效IP 封锁工具,强烈推荐!
07-08 59
在日常安全防御中,快速、高效地进行IP封禁是蓝队的重要工作。为此,我们推荐一款实用、便捷的封禁辅助工具 ——,支持多品牌防火墙设备的集中管理,极大提升了封禁效率与操作体验。除K01外其他设备封禁通过地址簿添加实现(封禁策略需手动配置)(蓝队IP封禁Tools工具)是一款专为蓝队安全人员设计的。支持按情报源选择封禁设备。批量黑名单 IP 查询。统一IP封禁管理工具。多品牌防火墙统一管理。快速删除已封禁 IP。IP策略清洗与规则化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值