一次烏龍的SSH攻擊處理

2021-09-11 21:29:16 字數 2397 閱讀 2275

freebsd有個很好的功能就是每天會自動給root使用者發兩封郵件,一封是日常報告,一封是安全報告。我一般都會把這個郵件**到自己的郵箱,這樣每天就可以在手機上關注一下系統狀態了。

前幾天在手機上看每日安全報告時發現家裡的伺服器有大量失敗的ssh登入,回電腦上登上去一看:

grep error auth.log | tail

複製**

基本上每隔幾分鐘就出現一次,統計了一下ip,只有少數幾個,並且都是來自於本市。

...

mar 26 03:00:41 myserver sshd[33056]: error: pam: authentication error for raptor from 117.25.180.xx

mar 26 03:00:41 myserver sshd[33056]: error: maximum authentication attempts exceeded for raptor from 117.25.180.xx port 2423 ssh2 [preauth]

...複製**

首先想到的就是:不會是黑客來攻擊了吧?

但是分析下來又覺得不可能:

家裡ip是動態的,除非知道我的動態網域名稱

其次,我的ssh用的不是預設埠

第三,root使用者是禁止登入的,所以得知道我的使用者名稱

除非我的電腦被黑,但是以我這麼小心的人,可能性不太大啊,難道是某個國產軟體在耍流氓?電腦裡裝的國產軟體屈指可數,都是正經軟體啊。

查了幾天沒有頭緒,換了埠,加了一些遮蔽ip的配置也沒什麼用。

直到上周末忽然發現其中乙個攻擊ip居然就是自己家裡的外網ip,才知道原來攻擊來自自己的電腦。

(假設ssh埠號為2222)

lsof -i :2222

複製**

然而並沒有結果。看了一下日誌,顯示是每隔五分鐘左右嘗試登入,所以這個程序應該不是長期執行,而是定時執行,但是cron裡並沒有這樣的東西,所以只能迴圈監控了:

while (( $? == 1 )) ; do lsof -i :2222 ; done;

複製**

等了五分鐘,終於抓住乙個:

ssh     25390 raptor    3u  ipv4 0x59231eed85a432f3      0t0  tcp 10.0.***.***:64077->217.180.***.***.broad.xm.fj.dynamic.163data.com.cn:2222 (syn_sent)

複製**

居然是ssh?看來還得抓一下它的父程序:

(while (( $? == 1 )) ; do lsof -i :2222 ; done; ) && ps -ef $(lsof -i :2222 | tail -n 1 | cut -b 8-14)

複製**

居然是hg?

501 25390 25374   0 11:05上午 ??         0:00.04 ssh raptor@***xx hg -r hg/proj serve --stdio

複製**

得,繼續排查。當然,到這一步基本上已經可猜到是誰了,要麼是zsh,要麼是pycharm。

不過單行命令已經不太好寫了,寫成乙個指令碼來跑吧:

#!/bin/bash

res=1

while [[ $res == 1 ]]

do lsof -i :2222

res=$?

done

pid=`lsof -i :2222 | tail -n 1 | cut -b 8-14`

pid1=`ps -ef $pid | tail -n 1 | cut -b 12-18`

pid2=`ps -ef $pid1 | tail -n 1 | cut -b 12-18`

ps aux | grep $pid2 | grep -v grep

複製**

果然是pycharm:

複製**

開啟pycharm的preferences-version control-mercurial,將check incomming and outgoing changesets的選中去掉。

觀察了半小時,終於沒有再出現那些「攻擊」了。

原因是:

pycharm每隔五分鐘會呼叫hg serve --studio連我的hg服務端檢查更新,我又在這個專案的hgrc裡配置了預設的ssh連線,但是這台電腦又沒有配置ssh證書,需要登入密碼,於是pycharm的這個操作就會立即失敗,在服務端就留下了一次失敗的ssh登入記錄。

一次SYN攻擊處理

公司有oa布置在阿里雲伺服器上,資料庫為了方便備份布置在了本地。最近幾天據同事反映,oa訪問速度很慢,測試了雲伺服器和本地伺服器的網路都是正常的,一時查不到原因。後來想到可能問題會不會出在資料庫的連線上導致阿里雲伺服器訪問本地資料庫速度慢引起oa的訪問速度慢。遂去本地資料庫伺服器 開啟cmd,輸入命...

一次疑似的Hacker攻擊的處理

中午在吃飯,手機響了,運維告訴我有一台內部系統的server的cpu負載達到了80 一共兩次,每次持續3分鐘左右。我讓運維先別慌,去server上取apache的apache access.log出來 apache access.log檔案開啟來一看,每次cpu負載狂飆的時候,都密集了出現了以下的h...

一次sql注入攻擊

喜歡學習 但是不想找漏洞 好麻煩 還不一定有乙個漏洞 是我在google上搜到的 畫面看著高大上 乙個頁面乙個頁面的找,尋找有輸入引數的地方,然後進行測試 本來我以為沒有注入的時候 突然 看到了一小句話 wow 有報錯資訊 可以進行報錯注入 想著可以提交烏雲了 然後先 order by 測試下有幾個...