使用ELK实时分析SSH暴力破解

Web安全 Bypass007
2019-12-10 9,897

在上一篇《通过rsyslog搭建集中日志服务器》,我们分享了如何通过rsyslog搭建集中日志服务器,收集系统日志,在本篇,我们会利用这些系统日志进行安全分析。

这是ELK入门到实践系列的第二篇文章,分享如何使用ELK实时分析SSH暴力破解。从一张图看出SSH登录时间、登录状态、用户名字典,尝试次数、来源IP等,可洞悉SSH暴力破解,迅速定位攻击者。

安全日志分析

linux系统的安全日志为/var/log/secure,记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录。

登录成功:

Nov  7 00:57:50 localhost sshd[22514]: Accepted password for root from 192.168.28.1 port 18415 ssh2
Nov  7 00:57:50 localhost sshd[22514]: pam_unix(sshd:session): session opened for user root by (uid=0)




登录失败:


Nov  7 00:59:12 localhost sshd[22602]: Failed password for root from 192.168.28.1 port 18443 ssh2
Nov  7 00:59:14 localhost sshd[22602]: error: Received disconnect from 192.168.28.1 port 18443:0:  [preauth]




通过以上信息,我们只需要一条信息就可以判断登录成功或失败。




# SSH登录成功
Nov  7 00:57:50 localhost sshd[22514]: Accepted password for root from 192.168.28.1 port 18415 ssh2
#  SSH登录失败
Nov  7 00:59:12 localhost sshd[22602]: Failed password for root from 192.168.28.1 port 18443 ssh2




Grok正则捕获


基于上述,我们来构造Grok正则捕获关键信息字段。


在线grok调试地址:http://grokdebug.herokuapp.com/




Logstash安装配置
1、下载安装(环境要求:JDK8)
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.3.2.tar.gz 
tar -zxvf logstash-7.3.2.tar.gz
cp -r logstash-7.3.2 /usr/local/logstash




2、测试




/usr/local/logstash/bin/logstash -e 'input { stdin{}} output{ stdout{}}'




3、Logstash配置




input { 
  file { 
    path => "/var/log/secure" 
  }
}

filter { 
    grok { 
        match => {            "message" => ".*sshd[d+]: %{WORD:status} .* %{USER:username} from.*%{IP:clientip}.*"      
   }   
 }
}
output {     if ([status] == "Accepted" or [status] == "Failed") { 
          elasticsearch { 
            hosts => ["http://192.168.28.151:9200"]            
            index => "secure-%{+YYYY.MM.dd}"           
            #user => "elastic"            
            #password => "changeme"          
          }          
          stdout { 
            codec => rubydebug 
          }   
    }    
}




Elasticsearch部署


1、安装




yum -y install elasticsearch




2、配置




cd /etc/elasticsearch/
vi  elasticsearch.yml   
  network.host: 0.0.0.0   
  http.port: 9200




3、启动ES




/bin/systemctl daemon-reload
systemctl start elasticsearch




Kibana数据展示


安装部署




# 安装yum -y install kibana# 配置cd /etc/kibana
cp kibana.yml kibana.yml.bak
vi kibana.yml
    server.port: 5601    
    server.host: "0.0.0.0"   
     elasticsearch.hosts: ["http://192.168.28.151:9200"]# 启动systemctl daemon-reload
systemctl restart kibana




绘制数据表


可以直观的看到攻击者所使用的用户名字典,登录成功或者失败的次数。




绘制折线图


Y轴为登录失败次数,X轴为登录时间,对SSH登录状态和IP地址做了一个直观的统计。




制作仪表盘


将前面绘制的数据表和折线图导入到一个仪表盘,就可以通过一张图进行安全日志分析,实时洞悉SSH暴力破解。




结语


本文中,通过对secure日志的分析,构建Grok正则捕获关键字段信息,然后将日志数据导入ELK进行实时分析。基于ELK实现日志收集分析,有着更多的应用场景,慢慢去摸索,继续分享一些最佳实践。

				                              
本文作者:Bypass007




                
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/120001.html
Tags:
点赞: 0 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

Bypass007
文章数:94 积分: 218

一个网络安全爱好者,对技术有着偏执狂一样的追求。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼