两码事

## 背景
看之前的文章因该知道，我家里买了一个极摩客G3的小主机，刷的liunx系统，长期开着机在，有什么有意思的项目的时候，会部署点服务，平时也不会去管它。从我买了后，开机后就没关过了，看了一下，持续运行了247天了。
![运行时间](https://minio-file.luckday.cn/images/1741938918878_20250314155637.jpg)

今天没事，连上去看了下服务状态，好家伙，正在被别人爆破攻击。。。

## 什么是SSH爆破攻击
 SSH爆破攻击，又称为SSH暴力破解攻击，是一种通过不断尝试不同的用户名和密码组合来获取系统访问权限的攻击方式。攻击者通常使用自动化工具进行大量登录尝试，直到找到正确的凭据为止。

## SSH爆破攻击的原理
- 自动化工具：攻击者使用自动化脚本或工具，如hydra、medusa等，这些工具可以快速地尝试大量的用户名和密码组合。
- 字典攻击：攻击者使用预先定义的用户名和密码字典，这些字典通常包含常见的用户名（如root、admin等）和密码（如password、123456等）。
- 暴力破解：在某些情况下，攻击者可能会尝试所有可能的字符组合，虽然这种方法耗时较长，但理论上可以破解任何密码。

## SSH爆破攻击的危害
- 系统资源消耗：大量的登录尝试会消耗服务器的CPU、内存和网络资源，可能导致服务器性能下降甚至拒绝服务。
- 安全风险：如果攻击者成功猜出正确的用户名和密码，他们将获得对服务器的访问权限，从而可能进行恶意活动，如数据窃取、安装恶意软件等。
- 日志充斥：大量的失败登录尝试会充斥系统日志，可能掩盖真正的安全事件。

## 发现异常
> 正常ssh到服务器上，输入 top 命令，发现大量sshd服务链接，正常链接也就一两个，自己的私有电脑，也没给过别人账户，不可能存在大量的任务

![top](https://minio-file.luckday.cn/images/1741925140629_20250314161008.jpg)

## 解决思路

### 步骤一：查看系统日志
> 检查/var/log/secure或/var/log/auth.log文件，查看SSH连接的日志

```
cd /var/log
tail -100f secure
```
![系统日志](https://minio-file.luckday.cn/images/1741940301059_20250314161848.jpg)

**刚输入完命令后，看见ssh链接错误日志疯狂在刷新**

![日志信息](https://minio-file.luckday.cn/images/1741925242080_20250314162323.jpg)

**查询了一下ip，荷兰。。。**

![ip地址](https://minio-file.luckday.cn/images/1741925283475_20250314162536.jpg)

**把日志丢给deepseek**

![日志分析](https://minio-file.luckday.cn/images/1741941039536_20250314163112.jpg)

**Deepseek分析结果如下：**
**1. 日志关键信息提取**
- 攻击IP：134.209.94.109
- 攻击特征：
 - 使用大量无效用户名尝试登录（如 jiangyonglin、jiangyongchao、jiangy 等）。
 - 每个用户名尝试多次后切换（可能为自动化脚本生成的字典攻击）。
 - 来自同一IP的多端口并发连接（如 port 35798、35388 等）。
- 攻击结果：
 - 所有尝试均失败（authentication failure）。
 - 未发现成功登录记录。
 
**2. 攻击行为分析** 

**（1）攻击手法**
 - 暴力破解：攻击者通过自动化工具批量尝试用户名和密码组合。
 - 用户枚举：通过invalid user日志可判断攻击者在探测有效用户名。
 - 高频并发：短时间内多个端口发起请求，规避简单的频率限制。

**（2）潜在风险** 
 - 若存在弱密码或默认账户，可能被破解。
 - 持续攻击可能导致服务资源消耗（CPU/带宽）。

### 步骤二：应对措施
**（1）彻底封禁攻击IP**

```
# 使用firewalld
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="134.209.94.109" reject'
sudo firewall-cmd --reload

# 使用iptables（备用）
sudo iptables -A INPUT -s 134.209.94.109 -j DROP
sudo service iptables save && sudo systemctl restart iptables
```
![firewalld封禁IP](https://minio-file.luckday.cn/images/1741927010196_20250314165648.jpg)

![iptables封禁IP](https://minio-file.luckday.cn/images/1741926400969_20250314165738.jpg)

**（2）SSH服务深度加固**
> 编辑 /etc/ssh/sshd_config，添加以下配置：
```
Port 2222                     # 更换默认端口
PermitRootLogin no            # 禁用Root登录
PasswordAuthentication no     # 禁用密码认证（强制密钥登录）
AllowUsers your_username      # 限制可登录用户
MaxAuthTries 3                # 单次连接最多尝试3次
UseDNS no                     # 加速连接并避免DNS反向查询问题
```

> 重启服务：
```
sudo systemctl restart sshd
```

## 验证结果
> 查询系统日志，已经没有134.209.94.109的ip请求了，日志终于消停了。。。top命令查询结果，正常了，没有额外的sshd链接

![top结果](https://minio-file.luckday.cn/images/1741927059931_20250314170133.jpg)

## END
这个吧，我觉得挺无语的，家里的宽带的是动态ip，哪怕我不管它，过段时间，电信的都会给它换了。

其次就是，我这个小主机里面也没啥东西，最后大不了重装系统就完事了。。。

不过别人没得逞也是好事，不然真黑进来了，一通瞎搞，我还得重新弄，也麻烦。

共勉！！！