新闻资讯
领先云端方案商,专注云桌面、云手机研发,凭核心虚拟化技术与云端算力,
打造安全高效数字化平台,提供全周期支持。
分类
相关文章
热门标签

从SSH连接痕迹入手解析怎么判断是否登上跳板机与防护建议

2026年7月11日

1. 背景与目标

- 说明:跳板机(bastion/jump host)常被攻击者用于横向移动与代理访问。
- 目标:通过SSH连接痕迹与系统数据判断是否被当作跳板机使用。
- 适用对象:VPS、云主机、物理服务器运维与安全团队。
- 涉及技术:auth.log、wtmp/last、ss/netstat、auditd、sshd_config等。
- 风险概述:被用作跳板会放大对内网的攻击面并影响业务与合规。

2. 可采集的SSH痕迹和工具

- 系统日志:/var/log/auth.log 或 journalctl -u sshd,记录登录、失败与转发请求。
- 会话记录:/var/log/wtmp、last、who 可列举登录历史与来源IP。
- 网络连接:ss -tnp 或 netstat -plant,查看当前TCP连接与进程绑定。
- 文件/进程:lsof -iTCP -sTCP:ESTABLISHED | grep ssh,查看哪些进程在做转发。
- 审计与录制:auditd 与 pam_tty_audit 可以记录命令与TTY,便于事后还原。

3. 真实案例日志与配置示例

- 案例说明:某企业VPS(Ubuntu 20.04, 2 vCPU, 4GB RAM)被用作跳板,发现外部IP做了端口转发。
- 关键日志样例(节选):以下为auth.log常见条目。
时间源IP用户事件
2025-03-10 02:12203.0.113.45aliceAccepted publickey for alice from 203.0.113.45 port 51522
2025-03-10 02:13127.0.0.1alicechannel 3: open failed: administratively prohibited: port forwarding
2025-03-10 02:14198.51.100.7-Accepted TCP connection for 10.0.0.5:22 from 198.51.100.7:40210
- 配置示例(sshd_config节选):Port 22, PermitRootLogin no, PasswordAuthentication no, AllowTcpForwarding no, PermitOpen none。
- 事件分析:出现127.0.0.1或本机作为转发端的日志、外部IP短时间内转发大量目标端口,是典型跳板痕迹。

4. 如何分析并确认“被用作跳板”的迹象

- 检查端口转发:ss -tnp | grep sshd,看是否有本地127.0.0.1或内网地址的转发连接。
- 查看代理行为:审查auth.log中 channel open/close、forwarded-tcpip、direct-tcpip 字样。
- 进程与命令:ps aux | grep sshd 与 lsof,确认哪个用户的会话打开了大量目标端口。
- 会话时间线:last -F 与 lastlog,结合登录IP与时间判断是否为批量代理活动。
- 网络流量基线:tcpdump -n -i eth0 'tcp port 22' 或流量监控(例如NetFlow)发现异常双向流量。

5. 防护建议(主机与网络层面)

- 强制密钥与证书:AuthenticationMethods publickey 或使用SSH证书,关闭密码认证。
- 禁止/限制转发:在sshd_config中设置 AllowTcpForwarding no、PermitOpen none、GatewayPorts no。
- 最小化暴露:仅对管理IP开放SSH(安全组/防火墙),使用跳板池与堡垒机并启用登录审计。
- 多因子与会话录制:部署2FA(例如Google Authenticator或硬件OTP),并启用终端录制(session recording)。
- 抗DDoS与CDN:对Web服务使用CDN与WAF;SSH可使用端口变化、限速、Cloudflare Spectrum/企业级TCP保护或云厂商的DDoS防护。

6. 操作项清单与总结

- 检查日志:立即检索最近30天auth.log与wtmp可疑条目并导出备份。
- 阻断可疑会话:用 pkill -f 或 systemctl restart sshd(慎用)断开恶意session并变更密钥。
- 加固配置:应用上文sshd_config建议并逐步测试。
- 部署监控:设置集中日志(ELK/Graylog)、告警(基于异常连接率/转发事件)。
- 演练与回顾:定期做横向移动演练与应急响应流程,确保一旦发现跳板使用可以快速隔离。


来源:从SSH连接痕迹入手解析怎么判断是否登上跳板机与防护建议

TG客服-1 TG客服-2 在线客服