SSH爆破围猎事件处理
来源
原始文档: article/一次ssh爆破围猎.md
核心内容
记录了服务器遭受 SSH 暴力破解攻击的完整处理过程和安全加固方案。
攻击特征
- 攻击来源: 9个荷兰IP、3个美国IP、1个德国IP
- 攻击方式: 使用不同用户名尝试密码登录
- 日志特征:
Failed password for invalid user ...- 认证阶段,输入了密码但用户名无效Invalid user ... [preauth]- 认证前阶段,连接刚建立就断开
应急响应措施
- 配置防火墙: 封禁攻击IP
- 修改SSH端口: 更改默认22端口
- 禁用密码登录: 仅允许密钥认证
安全防护脚本
文档提供了完整的自动化脚本,功能包括: - 自动检测系统类型(Ubuntu/Debian/CentOS/RHEL) - 安装配置 Fail2Ban 和 firewalld - SSH连续失败5次自动封禁IP(封禁1小时) - 自动放行SSH服务
后续管理命令
# 查看封禁状态
sudo fail2ban-client status sshd
# 解封IP
sudo fail2ban-client set sshd unbanip 1.2.3.4
# 查看封禁日志
sudo tail -100 /var/log/fail2ban.log | grep "sshd.*Ban"
关键要点
- [preauth] 表示连接在认证前被关闭,多为探测行为
- Failed password 表示攻击者确实尝试了密码
- 应组合使用防火墙+Fail2Ban+密钥认证多层防护
相关实体
- SSH - 安全外壳协议
- Fail2Ban - 入侵防护系统
- firewalld - 防火墙管理工具
- 日志分析 - 系统日志分析