近期在家裡利用 Raspberry pi 4 架了一台 Ubuntu Server 作為未來工作之用,因為要在外面也能連線,開了 SSH(22)、HTTP(80) 的服務,也在家用的AP(tplink)設定了虛擬伺服器轉 Port 進入。雖然目前家裡使用的中華電信光世代是用固定 IP 的 PPPOE 帳號,因為 Tplink 的 AP 有提供 DDNS 的功能,還特地註冊使用,這樣子比較好記憶。
伺服器架好了,不可避免了會有許多人利用 SSH 來嚐試入侵,為了使用的需求也無法使用白名單的方式來設定防火牆規則,只能利用紀錄檔來捉入侵的 IP,再配合 whois 來封鎖一整個 IP 區段。
/var/log/auth.log
嚐試入侵的資訊在會列在 /var/log/auth.log 紀錄檔中,從裡面找會有點吃力,所以要再利用指令的方式來想要的資訊篩選出來。
cat /var/log/auth.log | grep 'from invalid user'
auth.log 會用固定的方式紀錄入侵密碼錯誤的資訊,所以利用 grep 'from invalid user' 來過濾所要的資訊。仔細觀察 auth.log 檔,同一個密碼錯誤的資訊會留下多筆紀錄,只要找到篩選用的關鍵字都可以在 grep 中使用,只是目前選定的方式是帳號和 IP 放在一起,比較容易作後續的處理。
cat /var/log/auth.log | grep 'from invalid user' | awk '{print $11, $10}'
cat /var/log/auth.log | grep 'from invalid user' | awk '{print $11, $10}' | sort
原始紀錄是時間序列,等我們用 awk 篩選完後,內容順序變得無意義也閱讀困難,再利用 sort 作排序,資料就會比較容易閱讀, 而且也可以發現入侵的 IP 是使用何種手法,是比較高級的針對性攻擊?還是利用字典密碼攻擊?
建議此時的資訊就可以保存起後,方便後續的分析。
cat /var/log/auth.log | grep 'from invalid user' | awk '{print $11}' | sort | uniq
因為我們的目標是把 IP 取出然後用 whois 把 IP 區段找出來設定黑名單,所以 awk 只需要列出 $11 第11欄位資料,然後 sort 排序,再用 uniq 消除重復部份。
whois
iptables
留言
張貼留言