1. 背景与目标
- 说明:跳板机(bastion/jump host)常被攻击者用于横向移动与代理访问。
- 目标:通过SSH连接痕迹与系统数据判断是否被当作
跳板机使用。
- 适用对象:VPS、云主机、物理服务器运维与安全团队。
- 涉及技术:auth.log、wtmp/last、ss/netstat、auditd、sshd_config等。
- 风险概述:被用作跳板会放大对内网的攻击面并影响业务与合规。
2. 可采集的SSH痕迹和工具
- 系统日志:/var/log/auth.log 或 journalctl -u sshd,记录登录、失败与转发请求。
- 会话记录:/var/log/wtmp、last、who 可列举登录历史与来源IP。
- 网络连接:ss -tnp 或 netstat -plant,查看当前TCP连接与进程绑定。
- 文件/进程:lsof -iTCP -sTCP:ESTABLISHED | grep ssh,查看哪些进程在做转发。
- 审计与录制:auditd 与 pam_tty_audit 可以记录命令与TTY,便于事后还原。
3. 真实案例日志与配置示例
- 案例说明:某企业VPS(Ubuntu 20.04, 2 vCPU, 4GB RAM)被用作跳板,发现外部IP做了端口转发。
- 关键日志样例(节选):以下为auth.log常见条目。
| 时间 | 源IP | 用户 | 事件 |
| 2025-03-10 02:12 | 203.0.113.45 | alice | Accepted publickey for alice from 203.0.113.45 port 51522 |
| 2025-03-10 02:13 | 127.0.0.1 | alice | channel 3: open failed: administratively prohibited: port forwarding |
| 2025-03-10 02:14 | 198.51.100.7 | - | Accepted TCP connection for 10.0.0.5:22 from 198.51.100.7:40210 |
- 配置示例(sshd_config节选):Port 22, PermitRootLogin no, PasswordAuthentication no, AllowTcpForwarding no, PermitOpen none。
- 事件分析:出现127.0.0.1或本机作为转发端的日志、外部IP短时间内转发大量目标端口,是典型跳板痕迹。
4. 如何分析并确认“被用作跳板”的迹象
- 检查端口转发:ss -tnp | grep sshd,看是否有本地127.0.0.1或内网地址的转发连接。
- 查看代理行为:审查auth.log中 channel open/close、forwarded-tcpip、direct-tcpip 字样。
- 进程与命令:ps aux | grep sshd 与 lsof,确认哪个用户的会话打开了大量目标端口。
- 会话时间线:last -F 与 lastlog,结合登录IP与时间判断是否为批量代理活动。
- 网络流量基线:tcpdump -n -i eth0 'tcp port 22' 或流量监控(例如NetFlow)发现异常双向流量。
5. 防护建议(主机与网络层面)
- 强制密钥与证书:AuthenticationMethods publickey 或使用SSH证书,关闭密码认证。
- 禁止/限制转发:在sshd_config中设置 AllowTcpForwarding no、PermitOpen none、GatewayPorts no。
- 最小化暴露:仅对管理IP开放SSH(安全组/防火墙),使用跳板池与堡垒机并启用登录审计。
- 多因子与会话录制:部署2FA(例如Google Authenticator或硬件OTP),并启用终端录制(session recording)。
- 抗DDoS与CDN:对Web服务使用CDN与WAF;SSH可使用端口变化、限速、Cloudflare Spectrum/企业级TCP保护或云厂商的DDoS防护。
6. 操作项清单与总结
- 检查日志:立即检索最近30天auth.log与wtmp可疑条目并导出备份。
- 阻断可疑会话:用 pkill -f 或 systemctl restart sshd(慎用)断开恶意session并变更密钥。
- 加固配置:应用上文sshd_config建议并逐步测试。
- 部署监控:设置集中日志(ELK/Graylog)、告警(基于异常连接率/转发事件)。
- 演练与回顾:定期做横向移动演练与应急响应流程,确保一旦发现跳板使用可以快速隔离。
来源:从SSH连接痕迹入手解析怎么判断是否登上跳板机与防护建议