追蹤黑客：找出誰在攻擊您的服務器

2013-10-26 21:24:28 大云網　點擊量：評論 (0)

如果您的企業運行著一臺公共的開放SSH訪問的服務器，并且您曾經看過認證記錄，您會注意到有很多看似隨機的登錄嘗試。除非您將允許訪問的SSHIP地址源嚴格限制在特定的列表范圍內，要不然，互聯網上的任何人都可以

如果您的企業運行著一臺公共的開放SSH訪問的服務器，并且您曾經看過認證記錄，您會注意到有很多看似隨機的登錄嘗試。除非您將允許訪問的SSHIP地址源嚴格限制在特定的列表范圍內，要不然，互聯網上的任何人都可以嘗試登錄您的服務器，大量的個人運行腳本都會這樣做。最重要的是，智能的安全將盡量減少這種威脅的存在，但讓我們來看看這些所謂的“隨機的登錄嘗試”仍然是相當有趣的。

　　幾周前，我開始分析denyhosts創建的日志，這是一款*nix工具，可以查看無效的登錄嘗試，并在超過事前設置的失敗登錄次數后切斷相關IP地址源的訪問。這是一款很好的工具，將幫助您大大降低您的服務器上現有的隨機登錄。如果您尚未在您的服務器上安裝denyhosts，那么，您現在應該安裝了，然后再回來看本文余下的部分。

　　我開始以一種半科學的方式收集和分析denyhosts的數據。我所查看的是托管著美國和歐洲的6家不同的網絡提供商，并對每一個試圖訪問的IP進行分類的主機。當同一IP地址或多個IP地址10次登錄嘗試失敗后，Denyhosts將切斷這些IP地址的訪問。從而也就限制了我所能夠收集到的IP地址的數量。這一結果可能并不符合我所考慮的一個詳盡的研究項目所需的數據量，但對我而言，研究這些IP地址來源也是非常有趣的。

　　兩臺被監控的主機在同一公共IP子網。其中一臺主機托管著數量可觀的域名和網站、一個較小數域的電子郵件、以及用于注冊的DNS服務器。另一臺主機幾乎沒有托管什么，但安裝著防火墻并運行著一些小的服務。您可能認為較為繁忙的第一臺服務器會比另一臺遭遇更多的隨機登錄嘗試，畢竟，其承載了更多的服務。我的意思是，對于Web服務器的攻擊其實與Web服務器本身一樣古老。

　　結果正好相反。在為期一周的時間內，第一臺較為繁忙的服務器封鎖了47個IP地址，而第二臺服務器封鎖的IT數量是第一臺的近兩倍，86個IP地址。我只能猜測，因為第二臺服務器安裝了防火墻和網關，所以其IP地址能夠被互聯網上大量的網站和服務器看到，這導致了其被添加到pingback的名單，以作進一步審閱。而不像Web服務器，重點關注的是邊緣網關。我想這是有一定的道理的：如果您能進入網關，那么有可能獲得比一臺Web服務器更多的東西。

　　但也許不是。所以嘗試在托管服務提供商的服務器進行注冊的IP中，針對每一個獨立的注冊嘗試，系統均會呈現出一種奇怪的類似號碼（介于115～121之間）。這些都是運行在世界各地的服務器托管設施，利用不同的虛擬主機服務提供商，屬于完全不同的子網，彼此之間沒有關系。那些網段被廣泛分配到托管服務提供商，所以這些注冊嘗試顯然是針對服務器的，而不是網關。

　　正如您可能想象的，這些請求來自世界各地，從安卡拉到墨爾本，從烏克蘭到薩拉索塔，然后再將其請求返回。這些試圖訪問服務器的系統涉及了相當多的用戶名。有服務器顯示有超過600個獨特的用戶名企圖登錄該服務器的系統。一些被拒絕的登錄的用戶使用的是看似隨機的用戶名，甚至字符的字符串，而其他的知識簡單的按照字母順序來嘗試，從字母“a”開始，有的IP在被封鎖之前已經試到“aaad”了。

　　這種隨意性質的實驗在于，我所用的生產服務器是被保護免受這些類型的攻擊的服務器。如果我有相當的時間和意愿，在全世界范圍內采用幾十個VPS，那么，肯定會帶來更好更完整的數據。

　　事實是，不斷的有腳本從全球各地的SSH端口流入，試圖克服重重困難，以便登錄到服務器。許多腳本是基于Linux的應用程序，被默認設置為缺省值，因此使用已知的登錄。一些人正在尋找因安裝軟件所造成的安全漏洞，提供有效的shell命令行界面和默認密碼創建用戶。

　　但是，這肯定不是他們正在尋找的全部。在過去一周，我仔細分析了一整套顯示一個瘋狂嘗試登錄IP的威脅，該計算過程就相當于試圖用滿滿一箱子的鑰匙來開一扇門。但偶爾，其中的腳本也會工作，這種突如其來的威脅是非常真實的。