事情发生在一个挺莫名其妙的凌晨。

我正准备补个觉，结果手机就开始“叮叮叮”地响。打开一看，是服务器的安全告警：某台关键业务机器被境外 IP 疯狂爆破。

那种“被人狂敲门”的感觉你懂吧？而且还是半夜三点那种。

我第一反应是——好家伙，这帮人又开始搞事了。

其实这些年，外网机器被暴破已经不是什么新鲜事了，尤其 SSH、RDP、Web 登录口……基本只要你敢往公网放，全球脚本小子都会一窝蜂冲上来。

不过这次攻击量实在太夸张了点，于是我顺势做了一次比较完整的分析和处置，也正好写下来分享给大家看看：遇到这种疯狗式爆破，到底应该怎么应对？

我总结成“三板斧”，很实用，真的能落地的那种。

从一条烦人的告警开始

安全系统的提示大概就是那种：

• 某 IP 几秒钟试几十次密码
• 多个境外 IP 联合爆破
• 攻击端口固定在 SSH / RDP / 某 Web 登录接口
• 攻击量稳定又密集，明显是脚本跑的

这种情况你看多了就知道，不是什么“高级黑客”——绝大多数其实是自动化工具扫全网时顺带把你扫了。

但是不管是不是高级的，我们必须搞清楚四件事：

1. 攻击到底有多严重？
2. 有没有成功破进来？
3. 怎么快速止血？
4. 怎么让它以后没机会再这么搞？

于是我开始上手处理了。

第一板斧：先止血再说（封、限、改）

先把攻击堵住，这是人之常情。

1. 封 IP / 段（最粗暴但也最有效）

• Fail2ban 我直接开到高阈值，失败几次就踢
• 防火墙里把集中攻击的 IP 和网段直接 DROP
• 云厂商安全组顺便把一些国家段给关了（业务不需要海外访问的话，这招简直爽到飞起）

简单粗暴，但有效得令人安心。

甚至你能看到攻击流量瞬间掉下去，特别爽。

2. 限制端口访问

比如把 SSH、RDP 只开放给特定 IP 段，或者干脆先暂时关了外网入口。

紧急情况就用它。

3. 临时修改默认端口

22 → 22222

3389 → 53389

这种小操作能挡掉至少 70% 的脚本扫描。

虽不高端，但实用性满分。

第二板斧：事后排查（这步才决定事态到底严不严重）

止血之后，才是关键：

有没有被破？ 有没有留下后门？ 有没有脏东西？

1. 查日志

各种日志几乎翻了个遍：

• /var/log/secure
• /var/log/auth.log
• Web 登录日志
• last / lastb
• 可疑的计划任务
• 系统新增账号

尤其是这种关键字：

• Accepted password（如果看到陌生 IP 成功登录，那就真的有戏了）
• 新增用户
• 异常端口在监听

如果某天半夜你看到一个奇怪的成功登录，那可比喝下一大杯冰水醒得更快。

2. 验证系统有没有被篡改

比如：

• .ssh/authorized_keys 有没有陌生 key
• /etc/passwd 有没有鬼一样的用户
• 系统文件有没有被改动

必要的时候：

rpm -Va

快狠准。

3. 溯源——看攻击者到底是什么水平

通常来看：

• 如果是全球各地随机扫，那就脚本而已
• 如果集中来自某几个云商，那大概率是肉鸡
• 如果都是同类 User-Agent，说明是自动化工具
• 如果攻击特别“执着”，那可能是有针对性

大多数情况：自动化脚本罢了。

但不能因为“只是脚本”就掉以轻心。

第三板斧：彻底加固（改、隔、强，长期有效）

防御不能只靠封 IP，那都是临时救急的。

真正要防住暴破，要从根上减少它的成功率和机会。

1. 改——别用默认设置

• SSH 改端口
• 禁止 root 直接登录
• 禁止密码登录，用密钥
• 禁用 Telnet、FTP 那些老古董

说真的，弱口令 + 默认端口就是送人头。

2. 隔——把关键机器放内网，用堡垒机跳转

这是企业安全的真·基本功：

• 所有机器不直接暴露外网
• SSH / RDP 全部走堡垒机
• 如果必须外网访问，就走 VPN 或零信任接入

只要端口不暴露，暴力破解这事压根成立不了。

3. 强——加 MFA，多一步验证，多一层命

密码永远不是安全的核心。

但 MFA 是。

• Web 后台上 MFA
• 管理系统上 MFA
• VPN 上 MFA
• SSH 用公钥认证

坦白讲，开启 MFA 后，被爆破成功的概率几乎等于零。

攻击者可以继续爆，但你可以继续笑。

自动化真的能救命

手动封 IP 封一天也封不完，因此我平常会：

1. 用脚本自动分析高频爆破 IP 并封锁

像这样分析失败尝试最多的 IP：

grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr

再自动封它们。

2. WAF 行为识别防爆破

对 Web 登录效果非常明显：

• 高频失败
• 可疑 UA
• 非浏览器行为
• 刷接口模式明显

WAF：

你来爆，我来限。你来多次，我直接封。

3. IDS/IPS 实时检测

像 Suricata、Snort 可以帮助识别：

• SSH 爆破
• 端口扫描
• 异常命令

配 SIEM 派上用场时特别好用。

整个流程下来，我们做了：

1. 快速封禁恶意 IP
2. 检查所有日志，确认没有成功入侵
3. 修改端口 + 禁用密码登录
4. 把后台全放进堡垒机
5. Web 和 VPN 全部上 MFA
6. 加 WAF 防爆破
7. 自动化脚本加入每天例行检查

最终结果：

攻击依然在，但已经完全无害。 就像蚊子撞玻璃——很吵，但永远进不来。

---END---