Graylog4.2+GeoIP2获取SSH暴力破解攻击者IP的地理位置信息
场景说明
当云服务器位于公网时,并开放了SSH端口,会经常受到SSH暴力破解攻击
通过rsyslog转发云服务器系统日志到GrayLog进行日志分析系统安全日志,结合GeoIP2地址数据库就可以获取SSH暴力破解攻击者IP的地理位置信息
(图片可点击放大查看)
准备条件
1、GrayLog的Marketplace中下载SSH日志Content Pack
https://github.com/xkill/graylog_4.1_ssh
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
2、GeoIP2 Databases
GeoIP的数据库文件
(图片可点击放大查看)
具体实现的操作方法
1、上传GeoIP地址库文件
GeoLite2-City_20211116.tar.gz文件中GeoLite2-City.mmdb上传到GrayLog服务器的/etc/graylog/server目录中
(图片可点击放大查看)
2、启用GeoIP Resolver
system/configurations中最右下方Geo-Location Processor中 启用Geo-Location Processor
(图片可点击放大查看)
并在Message Processors Configuration中将GeoIP Resolver的顺序放在最下面 拖拽即可
(图片可点击放大查看)
(图片可点击放大查看)
3、上传并安装graylog_4.1_ssh-main-content-pack
(图片可点击放大查看)
(图片可点击放大查看)
4、修改Pipeline SSH的extract_ssh_fields
(图片可点击放大查看)
(图片可点击放大查看)
语法为第三行为has_field("message")
rule "extract_ssh_fields"
when
has_field("message")
then
let msg = to_string($message.message);
let msg2 = regex_replace("Invalid user", msg, "Invalid user by invalid user");
let parsed = grok(pattern: "%{SSH}", value: msg2, only_named_captures: true);
set_fields(parsed);
rename_field("ssh_rip","remote_addr");
rename_field("ssh_username","username");
end
保存并应用
(图片可点击放大查看)
5、模拟公网IP测试SSH登录失败
这里由于我在内网服务器上操作,可以ifconfig ens192:1起虚拟IP进行模拟
(图片可点击放大查看)
6、查看效果
可以在SSH Dashboard的地图中看到效果
(图片可点击放大查看)
(图片可点击放大查看)
当然,日志分析只是一方面,最重要还是要对SSH进行安全加固
1、云控制台配置安全组规则只允许运维主机访问SSH
2、Fail2ban工具实现动态阻断SSH暴力破解攻击
3、使用TCPwrapper进行SSH登录IP黑白名单
相关文章
- 金融服务领域的大数据:即时分析
- 影响大数据、机器学习和人工智能未来发展的8个因素
- 从0开始构建一个属于你自己的PHP框架
- 如何将Hadoop集成到工作流程中?这6个优秀实践必看
- SEO公司使用大数据优化其模型的5种方法
- 关于Web Workers你需要了解的七件事
- 深入理解HTTPS原理、过程与实践
- 增强分析:数据和分析的未来
- PHP协程实现过程详解
- AI专家:大数据知识图谱——实战经验总结
- 关于PHP的错误机制总结
- 利用数据分析量化协同过滤算法的两大常见难题
- 怎么做大数据工作流调度系统?大厂架构师一语点破!
- 2019大数据处理必备的十大工具,从Linux到架构师必修
- OpenCV中的KMeans算法介绍与应用
- 教大家如果搭建一套phpstorm+wamp+xdebug调试PHP的环境
- CentOS下三种PHP拓展安装方法
- Go语言HTTP Server源码分析
- Go语言HTTP Server源码分析
- 2017年4月编程语言排行榜:Hack首次进入前五十