应急响应-爆破漏洞应急响应流程（以SSH爆破为例）

---

概述

爆破漏洞是比较常见漏洞，端口开放，管理后台没有做登录频率限制等情况都可能遭受到爆破攻击，本文以SSH爆破为例，介绍下应急响应流程。

研判分析

8月23日00时13分收到告警，主机VM-0-16-centos被爆破成功


根据告警，可以知道是SSH爆破，源ip是172.19.0.3。

登录成功

不同操作系统日志位置不同

• RHEL（例如，centos）：/var/log/secure
• Debian（例如，ubuntu）: /var/log/auth.log

通过日志查询

cat /var/log/secure |grep 172.19.0.3|grep "Accepted password"|awk '{print $11}'|sort -nr |uniq -c|sort -nr

通过命令查询

last | grep 172.19.0.3

登录失败

查看登录失败日志

cat /var/log/secure |grep 172.19.0.3|grep "Failed"

统计登录失败次数

cat /var/log/secure |grep 172.19.0.3|grep "Failed"| wc -l

历史命令

查看攻击时间段内的记录

authorized_keys

cat ~/.ssh/authorized_keys

发现新增公钥

定损止损

查看日志，发现新增公钥操作，无其他异常，仅告警机器有影响。止损时可以先断开源ip的网络，例如云服务器的安全组或者使用iptables。

攻击链路还原

登录攻击机器排查，由于进程已销毁，搜索相关恶意文件。

locate brute

可以看到可能是执行了ssh_brute.py

清理恢复

删除authorized_keys文件中多余的公钥即可。172.19.0.3机器不清楚攻击入口的话可以重启或重装操作系统。

总结复盘

8月23日00时13分收到SSH爆破成功告警，ip为172.19.0.16的机器被攻击，来源ip是172.19.0.3，经研判分析，攻击者从8月23日00时06分开始发起攻击，失败115次，成功2次，成功后修改了authorized_keys文件，已还原。来源机器为业务测试机器，未找到攻击入口，重装了操作系统。MTTD 7分钟，MTTC 20分钟。

参考

主机安全-网络攻击监测
应急响应-主机安全之网络相关命令（Linux操作系统）
应急响应-应急响应流程(各个阶段与实战)
应急响应-主机安全之系统及进程排查相关命令（Linux操作系统-初级篇）