如何利用Auth日志分析新手识别服务器遭受的暴力破解攻击?
- 内容介绍
- 相关推荐
本文共计745个文字,预计阅读时间需要3分钟。
直接查看日志文件 /var/log/auth.log(Ubuntu/Debian)或 /var/log/secure(CentOS/RHEL),破坏痕迹会隐藏在失败的登录尝试记录中,无需报警响应——只需日志中有规则地刷新Failed password条目,攻击行为就会在尝试中暴露。
快速定位爆破IP和频率
执行这条命令就能筛出最可疑的来源:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10输出类似:
247 192.168.200.2189 203.124.55.88
156 114.119.120.33
说明这些IP在短时间内密集尝试登录。超过50次/分钟基本可判定为自动化爆破;若单IP超200次,大概率已启用字典工具(如Hydra或Medusa)。
识别攻击者用的用户名套路
爆破不是乱猜,而是有固定字典偏好。提取所有被尝试的用户名看看:
grep "Failed password" /var/log/auth.log | perl -ne'print "$1\n" if /for (.*?) from/' | sort | uniq -c | sort -nr | head -10常见结果包括:root、admin、test、user、hello、ubuntu、centos、oracle。
本文共计745个文字,预计阅读时间需要3分钟。
直接查看日志文件 /var/log/auth.log(Ubuntu/Debian)或 /var/log/secure(CentOS/RHEL),破坏痕迹会隐藏在失败的登录尝试记录中,无需报警响应——只需日志中有规则地刷新Failed password条目,攻击行为就会在尝试中暴露。
快速定位爆破IP和频率
执行这条命令就能筛出最可疑的来源:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10输出类似:
247 192.168.200.2189 203.124.55.88
156 114.119.120.33
说明这些IP在短时间内密集尝试登录。超过50次/分钟基本可判定为自动化爆破;若单IP超200次,大概率已启用字典工具(如Hydra或Medusa)。
识别攻击者用的用户名套路
爆破不是乱猜,而是有固定字典偏好。提取所有被尝试的用户名看看:
grep "Failed password" /var/log/auth.log | perl -ne'print "$1\n" if /for (.*?) from/' | sort | uniq -c | sort -nr | head -10常见结果包括:root、admin、test、user、hello、ubuntu、centos、oracle。