溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
當遇到SSH異常行為時我們通常選擇到日志服務器上被動查看和分析日志,這樣往往無法實時發現可疑IP的異常行為,下面通過OSSIM平臺大數據分析智能篩選出疑似Attack行為。
場景再現:
小張最近在使用某云服務器的過程中,被比特幣Hacker光顧了服務器....,損失慘重。在備份好重要資料之后,重新安裝了系統,沒過多久服務器又掛了。
在隨后的調查中,小張在服務器中發現了一些蛛絲馬跡,auth.log文件有很多不明IP通過22端口嘗試以ssh用戶名密碼的方式登錄服務器....
#grep "Failed password " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
2990 Failed
2208 222.186.50.190
654 94.102.3.151
303 106.186.21.162
299 115.239.248.90
... ... ...
... ... ...
通過日志分析很有可能SSH A t t a c k 。有什么辦法能第一時間發現此類問題呢?
下面我們通過OSSIM報警平臺實時觀察到網絡異常行為報警。
圖1 網絡異常行為可視化
點擊氣泡圖中某天的一條報警聚合信息
圖2 事件聚合
查看詳細事件
圖3 詳細日志
查看疑似異常行為主機的網絡信息以及IP地理位置信息
圖4 IP定位
圖5 關聯分析所得到的Alarm
每一條Alarm中系統提供了此事件的知識庫
圖6 KDB 信息描述
關注OSSIM公眾號可觀看視頻講解
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
