mvedant03/SSH-Bruteforce-detection-using-Linux-Logs-SOC-Lab-

# 使用 Linux 日志进行 SSH 暴力破解检测（SOC 实验） ## 实验环境 - 操作系统：Kali Linux - 日志记录：systemd（journalctl） - 攻击类型：通过 SSH 模拟暴力破解 ## 目标 在受控实验环境中，使用系统日志（`journalctl`）模拟并检测 SSH 暴力破解攻击。 ## 工具与环境 - Kali Linux - OpenSSH 服务器 - journalctl（systemd 日志） - Linux 命令行 ## 攻击模拟 使用无效凭证生成多个失败的 SSH 登录尝试： ssh root@127.0.0.1 ssh kali@127.0.0.1 ## 日志分析 1. **识别失败的登录尝试** 命令：journalctl -u ssh --no-pager | grep "Failed password" 2. **统计失败尝试次数** 命令：journalctl -u ssh | grep "Failed password" | wc -l 3. **提取攻击者 IP 地址** 命令：journalctl -u ssh | grep "Failed password" | awk '{print $(NF-3)}' | sort | uniq -c 4. **识别目标用户** 命令：journalctl -u ssh | grep "Failed password" | awk '{print $(NF-5)}' | sort | uniq -c 5. **检测成功登录** 命令：journalctl -u ssh | grep "Accepted password" ## 发现 - 攻击类型：SSH 暴力破解 - 攻击者 IP：127.0.0.1 - 目标用户：root、kali - 总失败尝试次数：33 - 观察到成功登录：是（用户：kali） ## SOC 分析 日志显示在短时间范围内来自单一 IP 地址的重复登录失败尝试，随后出现成功登录。 这强烈表明：潜在的暴力破解攻击后导致账户被攻破。 ## 检测逻辑 可通过以下特征识别暴力破解攻击： 1. 大量失败的登录尝试 2. 相同的源 IP 地址 3. 短时间间隔 4. 随后成功的身份验证 ## MITRE ATT&CK 映射 - T1110 — 暴力破解 - T1078 — 合法账户 ## 建议 - 禁用 root 登录（PermitRootLogin no） - 实施账户锁定策略 - 启用多因素认证（MFA） - 部署 fail2ban 或类似工具 - 在 SIEM 中监控身份验证日志 ## 截图 ### 🔹 SSH 登录尝试 [SSH Attempt] (screenshots/1. ssh login attempt.png) ### 🔹 提取失败日志 [Failed Logs] (screenshots/4. extracting only failed password logs.png) ### 🔹 提取 IP 与计数 [IP Extraction] (screenshots/5. extracting failed password count and attacker ip address.png) ### 🔹 成功登录检测 [Accepted Login] (screenshots/6. extracting accepted passwords and failed attempted login users.png) ## 关键收获 - 学习如何使用日志检测暴力破解攻击 - 理解 SSH 认证模式 - 从日志中识别攻击者 IP - 将攻击映射到 MITRE ATT&CK 框架 ## 展示技能 - 日志分析（Linux / journalctl） - 威胁检测 - 暴力破解攻击分析 - 事件调查 - MITRE ATT&CK 映射

标签：BurpSuite集成, Cloudflare, IP溯源, journalctl, MITRE ATT&CK, OpenSSH, PoC, SSH, T1078, T1110, 失败登录检测, 子域名枚举, 安全运营, 扫描框架, 攻击模拟, 暴力破解, 用户行为分析, 系统安全, 认证审计, 账号安全, 速率限制, 驱动签名利用