最快速可靠的初筛信号是查/var/log/auth.log或/var/log/secure中密集的Failed password或Invalid user记录,需按系统区分路径,结合时间窗口、多源日志交叉验证及正确轮转归档确保分析准确性。
直接查 /var/log/auth.log 或 /var/log/secure 里的失败登录模式
绝大多数暴力破解攻击会在认证日志里留下密集的 Failed password 或 Invalid user 记录,这是最快速、最可靠的初筛信号。但要注意:debian/ubuntu 用 /var/log/auth.log,RHEL/centos 默认用 /var/log/secure,别跑错文件。
- 基础命令:
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10—— 提取 IP 并统计频次,NF-3是常见字段位置(Openssh 8.9+ 多在倒数第 4 字段),但不同版本可能偏移,建议先head -5 /var/log/auth.log看一眼实际结构 - 加时间窗口才有效:单纯高频不等于攻击,得结合时间。比如 5 分钟内 ≥10 次失败才值得警惕,可用
journalctl -u sshd --since "5 minutes ago" | grep "Failed password"替代静态文件,避免日志轮转导致漏查 - 别只信
auth.log:lastb -i直读二进制/var/log/btmp,不依赖 rsyslog 配置,且只存失败记录,更轻量;但需 root 权限,且重启后若未持久化 journal 可能丢失近期记录
用 awk 提取可疑 sudo 行为,而不是靠 grep 硬匹配
sudo 日志格式松散,grep "sudo:" 会混入大量 PATH=、环境变量等冗余行,真正危险的是非交互式提权或隐蔽 shell 启动。必须用 awk 做字段级过滤,否则容易误报或漏报。
- 关键模式:
awk '/sudo:.*COMMAND/{user=$1; tty=$3; cmd=$0; sub(/^.*COMMAND=/,"",cmd); print user, tty, cmd}' /var/log/auth.log | grep -v "^PATH=" - 重点盯两个点:一是
tty=pts/0却找不到对应 SSH 登录记录(用last -i | grep "pts/0"反查);二是命令含/bin/bash、nohup、sh -i等典型反弹 shell 特征 - 注意用户字段陷阱:
sudo -i或sudo su -的日志里$1可能是root,得往前翻找上一条带USER=xxx的 sudo 行才能确认原始操作者
别忽略 journalctl 和 auditd 的互补性
journalctl 查服务级上下文(如 PAM 模块调用链、unit 启停),auditd 查内核级动作(如文件修改、execve 系统调用)。单用其一,会漏掉攻击链的关键一环。
- 查可疑进程启动:
journalctl -u sshd --since "2 hours ago" -o short-iso看登录来源,再交叉查ausearch -m execve -ts recent | aureport -f -i看是否执行了非常规二进制 - auditd 规则要精准:
auditctl -a always,exit -F arch=b64 -S execve -F uid!=0可捕获非 root 用户的命令执行,但别全开-w /,I/O 压力大且日志爆炸 - 默认 journal 大小受
/etc/systemd/journald.conf中SystemMaxUse限制(常设为 50M),旧日志会被丢弃——别假设“所有历史都在”,长期审计必须配合logrotate归档或外发到 SIEM
轮转和归档不是运维的事,是分析准确性的前提
没配置好 logrotate,auth.log.1.gz 里可能藏着上周的爆破记录,而你只盯着今天的文件白忙活;更糟的是,logrotate 配置错误(比如没 reload rsyslog)会导致日志写入中断,出现空白期。
- 检查是否生效:
logrotate -d /etc/logrotate.d/rsyslog(-d 是 debug 模式,不真执行,看输出是否含rotating log) - 关键配置项必须显式声明:
create 640 syslog adm(确保新日志权限正确)、sharedscripts(多个日志共用 postrotate 脚本时防止重复 reload)、dateext(用日期而非数字后缀,方便按时间范围批量解压分析) - 自动化脚本里别硬编码路径:
zcat /var/log/auth.log.*.gz 2>/dev/NULL | grep "Failed password"比只查auth.log更全面,但注意zcat在无 gzip 文件时会报错,要用2>/dev/null屏蔽
真实攻击往往横跨多日志源、跨时间段、跨权限层级。最常被跳过的一步,是把 journalctl -u sshd 的登录 IP、lastb 的失败记录、ausearch 的 execve 调用、以及 logrotate 归档里的历史压缩包,做时间戳对齐——差一分钟,就可能断掉整个攻击链。