Коротко и по делу.
Индикаторы компрометации и автоматизации
- Высокая частота неудачных попыток — $200$ попыток в минуту ($200\text{attempts/min}$) указывает на автоматизированный брутфорс/сканирование.
- Повторяющийся источник (IP) — попытки с адреса 192.0.2.1; частые повторы с одного IP — скрипт/бот.
- Целевой аккаунт "admin" — типичная цель атакующих (пробуют общеизвестные учётки).
- Однообразие ошибок (Failed password) — попытки с использованием словарей/комбинаций, а не интерактивной ручной работы.
Вывод: очевидная автоматизированная атака (credential stuffing / brute force); риск успешного входа при слабых паролях.
Шаги по обнаружению
1. Подсчитать и подтвердить масштаб:
- Число попыток за интервал: например, агрегировать по минутам и IP — ищите пики $>50\text{attempts/min}$ и суммарно $>1000$ за день.
2. Проверить успешные входы:
- Логи auth/sshd на наличие "Accepted password/publickey" для того же аккаунта или IP.
3. Коррелировать с другими источниками:
- Файрвол/IDS/HTTP/Proxy — тот же IP/подобные таймстемпы.
4. Проверить повторяемость и распределение:
- Много IP (distributed) → ботнет; один IP → одиночный скрипт.
5. Поиск побочных индикаторов: новые пользователи, sudo-операции, cron, изменения в /home, подозрительный outbound-трафик.
6. При возможности — собрать netflow/PCAP для анализа сессий.
Шаги по немедленному смягчению
1. Блокировка/ограничение:
- Заблокировать источник (IP 192.0.2.1) на firewall/iptables/WAF; если распределённая атака — блокировать сетевые диапазоны/ASN и включить rate‑limit.
2. Автоматическая защита:
- Включить/настроить fail2ban или эквивалент с агрессивным правилом для SSH (бан при $>N$ неудач/минуту).
3. Повысить аутентификацию:
- Включить MFA для административных аккаунтов; запретить вход по паролю для SSH (только ключи).
4. Жесткая конфигурация:
- Отключить root/standard "admin" логин по SSH; применить account lockout/порог.
5. Мониторинг:
- Ввести оповещения при повторных попытках $>M$ за минуту/час.
Шаги по расследованию (forensics)
1. Инициировать сбор и сохранение артефактов (preserve):
- Архив логов /var/log/auth.log, syslog, WAF/IDS логи, firewall rules, netflow; снимок хоста при подозрении на компрометацию.
2. Проверить успешные входы/сессии:
- last, lastb, /var/log/secure — есть ли "Accepted" записи для целевого аккаунта или других.
3. Поиск посткомпрометации:
- Новые учетные записи, изменения в sudoers, файлы в /tmp, crontab, /root/.ssh/authorized_keys, бинарные/скриптовые примеси.
4. Анализ активности сети:
- Внешние соединения с необычными адресами, DNS-запросы, данные exfiltration.
5. Корреляция по времени и по другим хостам:
- Проверьте остальные сервера на те же IOCs (IP, user-agent, частота попыток).
6. Оценка ущерба и путей проникновения:
- Если был успешный вход — собрать TTPs, список команд, staged malware, lateral movement.
Восстановление и долгосрочные меры
- Сброс/обновление паролей и ключей для скомпрометированных аккаунтов; ротация SSH-ключей при подозрении.
- Внедрить MFA, ограничить доступ по сетьм (jump hosts, VPN, bastion), закрыть публичный SSH если возможно.
- Жёсткие политики паролей, account lockout, rate limiting, IDS/IPS с блокировкой.
- Регулярные обзоры логов, автоматические оповещения при всплесках попыток.
- Отчет и, при необходимости, уведомление руководства/комплайенса.
Приоритетные первые действия (в порядке): блок IP и включить rate-limit/fail2ban → проверить успешные логи → сохранить логи/снимки → включить MFA/запрет паролей → расследовать возможный компромис.
Если нужно, дам конкретные примеры поисковых запросов для ваших логов/SIEM и шаблоны fail2ban/iptables.