一次烏龍的SSH攻擊處理

freebsd有個很好的功能就是每天會自動給root使用者發兩封郵件，一封是日常報告，一封是安全報告。我一般都會把這個郵件**到自己的郵箱，這樣每天就可以在手機上關注一下系統狀態了。

前幾天在手機上看每日安全報告時發現家裡的伺服器有大量失敗的ssh登入，回電腦上登上去一看：

grep error auth.log | tail
複製**

基本上每隔幾分鐘就出現一次，統計了一下ip，只有少數幾個，並且都是來自於本市。

... mar 26 03:00:41 myserver sshd[33056]: error: pam: authentication error for raptor from 117.25.180.xx mar 26 03:00:41 myserver sshd[33056]: error: maximum authentication attempts exceeded for raptor from 117.25.180.xx port 2423 ssh2 [preauth]

...複製**

首先想到的就是：不會是黑客來攻擊了吧？

但是分析下來又覺得不可能：

家裡ip是動態的，除非知道我的動態網域名稱

其次，我的ssh用的不是預設埠

第三，root使用者是禁止登入的，所以得知道我的使用者名稱

除非我的電腦被黑，但是以我這麼小心的人，可能性不太大啊，難道是某個國產軟體在耍流氓？電腦裡裝的國產軟體屈指可數，都是正經軟體啊。

查了幾天沒有頭緒，換了埠，加了一些遮蔽ip的配置也沒什麼用。

直到上周末忽然發現其中乙個攻擊ip居然就是自己家裡的外網ip，才知道原來攻擊來自自己的電腦。

（假設ssh埠號為2222）

lsof -i :2222

複製**

然而並沒有結果。看了一下日誌，顯示是每隔五分鐘左右嘗試登入，所以這個程序應該不是長期執行，而是定時執行，但是cron裡並沒有這樣的東西，所以只能迴圈監控了：

while (( $? == 1 )) ; do lsof -i :2222 ; done;
複製**

等了五分鐘，終於抓住乙個：

ssh 25390 raptor 3u ipv4 0x59231eed85a432f3 0t0 tcp 10.0.***.***:64077->217.180.***.***.broad.xm.fj.dynamic.163data.com.cn:2222 (syn_sent)

複製**

居然是ssh？看來還得抓一下它的父程序：

(while (( $? == 1 )) ; do lsof -i :2222 ; done; ) && ps -ef $(lsof -i :2222 | tail -n 1 | cut -b 8-14)
複製**

居然是hg？

501 25390 25374 0 11:05上午 ?? 0:00.04 ssh raptor@***xx hg -r hg/proj serve --stdio

複製**

得，繼續排查。當然，到這一步基本上已經可猜到是誰了，要麼是zsh，要麼是pycharm。

不過單行命令已經不太好寫了，寫成乙個指令碼來跑吧：

#!/bin/bash
res=1
while [[ $res == 1 ]]
do lsof -i :2222
res=$?
done
pid=`lsof -i :2222 | tail -n 1 | cut -b 8-14`
pid1=`ps -ef $pid | tail -n 1 | cut -b 12-18`
pid2=`ps -ef $pid1 | tail -n 1 | cut -b 12-18`
ps aux | grep $pid2 | grep -v grep
複製**

果然是pycharm：

複製**

開啟pycharm的preferences-version control-mercurial，將check incomming and outgoing changesets的選中去掉。

觀察了半小時，終於沒有再出現那些「攻擊」了。

原因是：

pycharm每隔五分鐘會呼叫hg serve --studio連我的hg服務端檢查更新，我又在這個專案的hgrc裡配置了預設的ssh連線，但是這台電腦又沒有配置ssh證書，需要登入密碼，於是pycharm的這個操作就會立即失敗，在服務端就留下了一次失敗的ssh登入記錄。

一次烏龍的SSH攻擊處理

一次SYN攻擊處理

一次疑似的Hacker攻擊的處理

一次sql注入攻擊

一次烏龍的SSH攻擊處理

一次SYN攻擊處理

一次疑似的Hacker攻擊的處理

一次sql注入攻擊

相關推薦