yosueFtw/SSH-BruteForce-Incident-Response
GitHub: yosueFtw/SSH-BruteForce-Incident-Response
一个 SSH 暴力破解攻击的事件响应实战记录,涵盖日志检测、攻击分析、手动遏制与自动化防护方案设计。
Stars: 0 | Forks: 0
# 事件响应与缓解:SSH 暴力破解攻击
## 执行摘要
本项目记录了对生产环境 Linux 服务器上正在发生的 SSH 暴力破解攻击的识别、分析和遏制过程。概述了使用基于主机的防火墙进行的手动遏制策略,并提供了主动自动化防护的概念方案。
## 1. 检测与日志分析
在对位于 `/var/log/auth.log` 的系统身份验证日志进行例行安全检查时,检测到了异常。单一外部 IP 地址正在快速生成未经授权的连接尝试,目标直指常见的管理员用户名。
### 原始日志分析
```
Jul 13 18:22:01 srv-prod sshd[4012]: Invalid user admin from 192.168.1.45 port 49210 ssh2
Jul 13 18:22:03 srv-prod sshd[4015]: Invalid user admin from 192.168.1.45 port 49212 ssh2
Jul 13 18:22:05 srv-prod sshd[4018]: Invalid user backup from 192.168.1.45 port 49216 ssh2
Jul 13 18:22:07 srv-prod sshd[4021]: Failed password for invalid user backup from 192.168.1.45 port 49220 ssh2
Jul 13 18:22:10 srv-prod sshd[4025]: Accepted password for root from 192.168.1.45 port 49224 ssh2
```
标签:Cutter, PB级数据处理, SSH暴力破解, 内存分配, 安全运维, 库, 应急响应, 防御缓解