Обнаружение брутфорс атаки SSH и поиск атакующего

Атака брутфорс состоит в систематической проверке всех возможных паролей, пока не будет найден правильный.

Если хост находится непосредственно в Интернете (WAN), а служба SSH запущена на хосте, он становится объектом постоянных атак с перебора пароля, выполняемых автоматическими скриптами, такими как hydra.

Для обнаружения попыток брута SSH в системах, запускаемых системным менеджером systemd (CentOS7 / Fedora21 / RHEL7), вы можете использовать команду journalctl с параметрами:

# journalctl -u sshd | grep "Failed password"
May 09 17:37:08 router sshd[2303]: Failed password for root from 222.186.21.231 port 42258 ssh2
May 09 17:37:10 router sshd[2303]: Failed password for root from 222.186.21.231 port 42258 ssh2
May 09 17:37:14 router sshd[2303]: Failed password for root from 222.186.21.231 port 42258 ssh2
May 09 17:37:20 router sshd[2333]: Failed password for root from 222.186.21.231 port 38834 ssh2
May 09 17:37:22 router sshd[2333]: Failed password for root from 222.186.21.231 port 38834 ssh2
May 09 17:37:25 router sshd[2333]: Failed password for root from 222.186.21.231 port 38834 ssh2
May 09 17:37:31 router sshd[2344]: Failed password for root from 222.186.21.231 port 35444 ssh2
...

В старых системах на основе RedHat с использованием upstart (CentOS6 / RHEL6) вы можете просто искать возможные попытки вторжения в файле /var/log/secure:

# cat /var/log/secure | grep "Failed password"
May 09 17:37:08 router sshd[2303]: Failed password for root from 222.186.21.231 port 42258 ssh2
May 09 17:37:10 router sshd[2303]: Failed password for root from 222.186.21.231 port 42258 ssh2
... 

Теперь, когда у нас есть IP-адрес злоумышленника, давайте проверим, где он находится, используя команду whois:

# whois 222.186.21.231
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '222.184.0.0 - 222.191.255.255'

inetnum: 222.184.0.0 - 222.191.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
mnt-routes: MAINT-CHINANET-JS
remarks: This object can only modify by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to  with your
remarks: organisation account name in the subject line.
changed:  20040223
status: ALLOCATED PORTABLE
source: APNIC

role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: 
remarks: send anti-spam reports to 
remarks: send abuse reports to 
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: 
mnt-by: MAINT-CHINANET-JS
changed:  20090831
changed:  20090831
changed:  20090901
source: APNIC
changed:  20111114

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: 
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed:  20070416
changed:  20140227
mnt-by: MAINT-CHINANET
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

Команда whois выполняет поиск объекта (ISP) в базе данных RFC 3912 для данного IP-адреса.

Теперь давайте найдем информацию о возможности доложить о злоупотреблениях у этого интернет-провайдера:

# whois 222.186.21.231 | grep abuse
remarks: send abuse reports to 

Теперь мы можем отправить электронное письмо по адресу: abuse@jsinfo.net с подробными сведениями злоумышленника, чтобы провайдер блокировал его попытки НСД.

 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40