每分钟遭受上百次 SSH 异常登录:一次日志观察
无意间翻了下服务器的 SSHD 日志,发现异常登录的频率比我想象的要高。截取的这段记录,足够反映一次典型的自动化扫描行为,从来源、方式到特征,都有迹可循。
... ...
17:10:03: Invalid user test from 139.59.0.116 port 56962
17:10:03: Connection closed by invalid user test 139.59.0.116 port 56962 [preauth]
17:10:04: Invalid user pi from 139.59.0.116 port 56968
17:10:04: Connection closed by invalid user pi 139.59.0.116 port 56968 [preauth]
17:10:06: Invalid user cs2 from 139.59.0.116 port 56984
17:10:06: Connection closed by invalid user cs2 139.59.0.116 port 56984 [preauth]
17:10:07: Invalid user kali from 139.59.0.116 port 56994
17:10:08: Connection closed by invalid user kali 139.59.0.116 port 56994 [preauth]
17:10:09: Invalid user esuser from 139.59.0.116 port 56996
17:10:09: Connection closed by invalid user esuser 139.59.0.116 port 56996 [preauth]
... ...攻击来源
日志显示,多数尝试来自一个 IP:139.59.0.116。它的活跃度明显高于其他来源,占了绝大部分登录尝试。除此之外,还有几个零散的 IP:217.154.69.208、164.92.153.1、45.148.10.151、167.99.214.41、203.146.127.165 等。结合它们的注册信息,这些大多是海外云服务节点。换句话说,这并非针对我个人的精准攻击,而是广泛扫描的一部分。
攻击方式
从日志可以看到几种行为模式。攻击者会尝试各种无效用户名:test、root、pi、kali、ubuntu、minecraft、postgres 等。用户名覆盖了系统默认账户、开发工具账户,以及开源应用默认账户。几乎每秒都有尝试,而且端口不断变化,显示扫描脚本在快速轮询,目标显然是找到弱口令或者默认账户。
服务器已有配置禁止 root 登录,日志里 not allowed because listed in DenyUsers 多次出现。尽管如此,攻击者并没有停手,依旧尝试 root 和其他敏感账户。每次连接都很短暂,几乎立即关闭,说明脚本不会维持长连接,而是快速轮询尝试。
攻击特征
自动化特征非常明显:同一 IP 两分钟就有上百次登录尝试,用户名覆盖广泛,端口随机化。多个零散 IP 的存在,也显示出一定分布式趋势。整体来看,这是一种暴力穷举的行为,而非精确的渗透行动。攻击者的目标很清楚:寻找容易突破的账户,可能用于部署恶意软件、挖矿或僵尸网络。
分析与观察
从日志可以推测,攻击者很可能使用海外云服务租用或被控制的节点。他们不针对特定目标,而是在互联网范围内寻找易受攻击的服务器。攻击者意图明显:弱密码和默认账户是入口。
无论如何,这类日志提醒我们,服务器安全必须持续关注:禁止弱账户、限制登录尝试、强化认证。偶尔翻日志,像这次一样,会发现许多被忽略的风险信号。
以下是一段专业的评论:
该日志记录显示, attackers 使用了暴力穷举的攻击方式,尝试了多种无效用户名,包括系统默认账户、开发工具账户和开源应用默认账户。攻击者主要从一个 IP 139.59.0.116 开始,后面还有一些零散的 IP,这些 IP 大多是海外云服务节点。攻击者的目标很清楚,即寻找容易突破的账户,可能用于部署恶意软件、挖矿或僵尸网络。
攻击者使用的攻击方式非常典型,几乎每秒都有尝试,端口不断变化,表明扫描脚本在快速轮询,目标显然是找到弱口令或者默认账户。尽管服务器已经配置了禁止 root 登录,但是攻击者依旧尝试 root 和其他敏感账户,说明他们在关注的是快速尝试而不是精确的渗透行动。
这类日志提醒我们,服务器安全必须持续关注,禁止弱账户、限制登录尝试、强化认证等措施是必要的,偶尔翻日志
看起来很有趣的日志记录!我觉得攻击者的行为模式相当明显,他们似乎是在使用 automated 脚本来快速地尝试各种无效用户名和密码组合。他们的目标似乎是找到容易突破的账户,可能用于各种恶意目的。这种类型的攻击非常常见,尤其是在未经安全配置的服务器上。
这段日志记录非常详细,提供了攻击者的 IP 地址、用户名、端口号以及连接的时间。攻击者的使用方式很典型,他们几乎每秒都会尝试不同的用户名和密码组合,使用快速的轮询技术来尽量缩短攻击时间。
从日志中可以看出,攻击者的目标不是特定服务器,而是整个互联网范围内的服务器。他们的攻击方式很简单,但也很有效,可能会导致安全问题。
这个日志记录是一个很好的警示信号,强调了服务器安全的重要性。系统管理员应该注意到这些风险信号,并采取措施加强服务器的安全配置,例如禁止弱账户、限制登录尝试、强化认证等。
这篇文章记录了一个高频的SSH异常登录事件,通过分析日志,找到攻击者的主要特征和动机。首先,攻击来源是来自一个IP地址,139.59.0.116,占了绝大部分登录尝试,表明这是一个广泛的扫描行为。攻击者使用的用户名覆盖了系统默认账户、开发工具账户和开源应用默认账户,表明他们试图找到弱口令或默认账户。虽然服务器配置禁止root登录,但攻击者依旧尝试root和其他敏感账户。
最突出的特征是自动化的行为,同一IP两分钟内有上百次登录尝试,用户名和端口随机化,表明这是一个暴力穷举的行为。攻击者的目标很清楚:寻找容易突破的账户,可能用于部署恶意软件、挖矿或僵尸网络。分析表明,攻击者很可能使用海外云服务租用或被控制的节点,针对互联网范围内的服务器。
这类事件提醒我们,服务器安全必须持续关注,禁止弱账户、
作者在分析 SSH 日志后发现了一系列异常登录尝试,主要来自一个 IP 地址 139.59.0.116。这些尝试涉及各种无效用户名,包括系统默认账户、开发工具账户和开源应用默认账户。攻击者使用快速轮询的脚本尝试找到弱口令或默认账户。服务器已配置禁止 root 登录,但攻击者仍然尝试,原因不明。攻击的特征包括同一 IP 地址内的上百次登录尝试,用户名覆盖广泛,端口随机化,且多个零散 IP 的存在显示出分布式趋势。这是一种暴力穷举的行为,主要目标是找到易受攻击的账户,可能用于部署恶意软件、挖矿或僵尸网络。
这段日志记录了一个经常遭受大量无效登录尝试的服务器。攻击者显然是使用自动化脚本进行扫描,尝试了各种无效用户名和端口。虽然服务器已经配置了禁止 root登录,但攻击者仍然尝试了多次。日志表明攻击者主要目标是找到容易突破的账户,可能用于部署恶意软件或挖矿。
**自动化扫描行为的特点**
该日志记录显示,攻击者使用了自动化扫描行为,目标是快速轮询多个端口和用户名,旨在找到弱口令或默认账户。这种行为的特点包括:
* 同一 IP 地址下持续有上百次登录尝试,表明攻击者使用了分布式攻击技术。
* 使用的用户名覆盖了系统默认账户、开发工具账户以及开源应用默认账户。
* 每次连接都很短暂,几乎立即关闭,说明脚本不会维持长连接,而是快速轮询尝试。
* 使用的端口随机化,表明攻击者旨在避免被防火墙或安全组阻断。
**攻击者的意图**
攻击者的目标很清楚:寻找容易突破的账户,可能用于部署恶意软件、挖矿或僵尸网络。攻击者不针对特定目标,而是在互联网范围内寻找易受攻击的服务器。
**安全建议**
从日志中可以看出,服务器安全需要持续关注:
* 禁止
A really good blog and me back again.