Linux的ssh被爆破的应急处理！

ICT系统集成阿祥

作者站在ICT项目集成角度，不定期更新ICT项目集成类文章，技术方向涉及数通、安防，安全、云计算等；管理方向涉及项目管理，经验分享，IT新闻等。致力于普及时下最新的、最实在、最艳的ICT项目集成干货，阿祥志愿和您共同成长。

287篇原创内容

公众号

如今云、大数据、AI时代，网络安全形势严峻，服务面临各种安全挑战，而网络工程师在运维时自然也面临了不少压力。以下是针对Linux系统SSH服务遭受暴力破解攻击的标准化应急处理流程，结合威胁遏制、溯源分析与加固防护三阶段设计，确保高效响应与系统安全恢复。希望能给初学者们带来帮助！

🔍 一、攻击确认与快速封堵

1、定位攻击源IP

• 查看SSH登录失败日志，统计高频攻击IP：

grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10

输出示例：  248624 158.178.141.69 表示IP 158.178.141.69 尝试登录失败24万次。

• 检查异常登录成功的IP：

grep "Accepted" /var/log/secure | awk '{print $11}' | sort | uniq -c

2、立即封禁攻击IP

• 防火墙封堵（推荐）：

iptables -I INPUT -s <恶意IP> -j DROP  # 单IP封禁
iptables -I INPUT -s 221.0.0.0/8 -j DROP  # 封禁整个C段

持久化规则：iptables-save > /etc/sysconfig/iptables。

• 黑名单文件封堵：

编辑 /etc/hosts.deny，添加：sshd: <恶意IP> 或 sshd: all:deny（全局禁止，需搭配白名单使用）。

注意：若/etc/hosts.deny失效，需检查是否安装tcp_wrappers库（yum install tcp_wrappers）。

🕵️ 二、入侵痕迹排查

1、账户安全审计

• 检查特权账户（UID=0）：

awk -F: '$3==0 {print $1}' /etc/passwd

非root账户若拥有UID=0则异常。

• 查看可远程登录的账户：

awk -F: '$1 !~ /^root$/ && $6 != "" {print $1}' /etc/shadow

2、后门与恶意进程检测

• 检查SSH授权密钥：

cat ~/.ssh/authorized_keys  # 重点排查新增未授权公钥

• 挖掘隐藏进程（如挖矿程序）：

sysdig -c topprocs_cpu  # 显示CPU占用最高的进程
unhide proc  # 检测隐藏进程

• 分析定时任务：

cat /etc/crontab  # 检查恶意任务（如自动启动木马）
crontab -l -u root  # 查看root用户计划任务

🛡️ 三、系统加固与防护升级

1、SSH服务强化

2、部署自动化防御工具

• Fail2ban自动封禁：

# 安装与配置
yum install fail2ban  # 或 apt install fail2ban
vim /etc/fail2ban/jail.local  # 添加：
[sshd]
enabled = true
maxretry = 5       # 5次失败后封禁
findtime = 600      # 10分钟内触发
bantime = 604800    # 封禁7天

启动服务：systemctl enable --now fail2ban。

• 白名单机制：

编辑 /etc/hosts.allow，添加可信IP：sshd: 192.168.1.*，优先级高于hosts.deny。

⚠️ 四、事后监控与复盘

1、日志持续审计

• 实时监控SSH日志：tail -f /var/log/secure。
• 分析攻击时间线：

grep "Failed password" /var/log/secure | head -1  # 首次攻击时间
grep "Failed password" /var/log/secure | tail -1  # 最近攻击时间

2、安全基线优化

• 启用防火墙：systemctl enable --now firewalld，并配置仅开放必要端口。
• 定期更新系统：yum update -y 修补已知漏洞。
• 配置登录告警：通过Logwatch或云平台告警推送实时通知异常登录。

💎 总结：应急流程图

图片

关键原则：

✅ 快速阻断优先：第一时间切断攻击路径（IP封禁+服务加固）。

✅ 纵深防御：结合防火墙、Fail2ban、密钥认证多层防护。

✅ 最小权限：限制账户、端口与IP访问范围，降低攻击面。

✅ 持续审计：日志分析+实时监控，早发现早处置。

ICT系统集成阿祥

作者站在ICT项目集成角度，不定期更新ICT项目集成类文章，技术方向涉及数通、安防，安全、云计算等；管理方向涉及项目管理，经验分享，IT新闻等。致力于普及时下最新的、最实在、最艳的ICT项目集成干货，阿祥志愿和您共同成长。

287篇原创内容