入侵紀錄分析

 上篇利用 grep 和 awk 將嚐試利用 SSH 入侵的紀錄篩選出來分析，發現有幾種入侵類型：

一、密碼字典攻擊：

利用外洩的密碼表或收集常用密碼入侵粗心大意網管架設的伺服器。

防範的方式是不允許 root 帳號利用 SSH 登入系統，現今新版的 Linux distro 都有預設。

二、帳號密碼字典攻擊：

利用英文姓名或系統固定內建帳號，搭配外洩密碼表或字典密碼進行攻擊。

防範方式是限定 SSH 登入的帳號或群組，並且設置足夠安全的密碼。

三、進階帳號字典攻擊：

此類攻擊雖然也是帳號字典攻擊，但使用的帳號不再是亂槍打鳥的方式，會針對伺服器系統來作帳號攻擊，而且從這種攻擊模式可以看出某些廠牌設備會受到攻擊關注。

上圖中的「HwHiAiUser」查詢結果是華為出品某伺服器的預設管理帳號。

此類攻擊防範也是限定 SSH 登入帳號及群組，並且設置足夠安全的密碼。

四、用到錯誤字典程式的菜鳥：

在分析入侵資料中，有發現如上圖非常奇異的帳號，看起來應該不是帳號而是密碼。表示該駭客用到的字典程式欄位設定錯誤，把密碼拿來當帳號在試。

而且不只一組IP有會種情形，從收集到的資料內發現有兩個IP以上會有這樣的情形，用 whois 查詢了一下，都是中國那邊的IP，而且不是同一個區域喔！