SecureExec
ГлавнаяО насБлогЦены
ВойтиРегистрация
← Назад к блогу

Обнаружение SSH brute-force атак на Linux

6 марта 2026 г.

SSH — стандартный способ удалённого доступа к Linux-серверам. Эта повсеместность делает его постоянной мишенью: автоматические сканеры круглосуточно проверяют порт 22, подбирая украденные учётные данные и распространённые пароли.

Как работает SSH brute-force

Атака проста, но эффективна:

  • злоумышленник находит хост с открытым SSH;
  • автоматические утилиты перебирают комбинации логин/пароль;
  • тысячи попыток генерируются за минуты;
  • одна угаданная пара даёт доступ к shell.

После проникновения атакующий перемещается горизонтально, устанавливает бэкдоры или выгружает данные. Brute-force часто становится первой фазой длинной цепочки атаки.

Почему традиционной защиты недостаточно

Такие инструменты как fail2ban реагируют на паттерны в логах и временно блокируют IP. Это помогает, но имеет ограничения:

  • атакующие ротируют IP через ботнеты;
  • распределённые медленные атаки остаются под порогом;
  • лог-детекция может пропускать события при ротации или ошибках парсинга;
  • после истечения бана не остаётся форензик-следа.

Нужна детекция, которая работает параллельно с превентивными мерами и сохраняет историю для расследования.

Как SecureExec обнаруживает SSH brute-force

Встроенное правило ssh_bruteforce в SecureExec использует stateful-подход:

  • Linux-агент собирает события аутентификации SSH (успех и неудача) из системных журналов;
  • на сервере правило отслеживает неудачные попытки входа по IP-источнику в скользящем 10-минутном окне;
  • при 5 и более неудачах с одного источника генерируется алерт с приоритетом high;
  • 15-минутный cooldown предотвращает лавину алертов при продолжающейся атаке;
  • устаревшие состояния автоматически очищаются.

Такой дизайн ловит как быстрые автоматические сканы, так и медленные распределённые подборы, сохраняя управляемый объём алертов.

Расследование с полным контекстом

При срабатывании алерта SSH brute-force SecureExec предоставляет:

  • IP-адрес источника, ответственного за неудачные попытки;
  • точные временные метки каждой попытки аутентификации;
  • целевой хост и агент;
  • все связанные события в Elasticsearch для восстановления таймлайна.

Аналитик сразу получает ответы: Когда началось? Сколько попыток? Была ли успешная? Сопутствующее правило ssh_success_after_failures специально ловит случай, когда успешный вход следует за серией неудач — сильный сигнал реальной компрометации.

Защитите свои Linux-серверы

SSH brute-force атаки никогда не прекращаются. Детектируйте их рано, отслеживайте источник и сохраняйте улики для реагирования.

Попробуйте SecureExec, чтобы добавить stateful-детекцию SSH brute-force с историей расследований в вашу Linux-инфраструктуру.

SecureExec

Лёгкая платформа безопасности конечных точек. Мониторинг процессов, файлов и сетевой активности в режиме реального времени по всему вашему парку устройств.

Продукт
  • Цены
Компания
  • О нас
  • Блог
  • Связаться с отделом продаж
  • Поддержка
Аккаунт
  • Войти
  • Регистрация
Правовая информация
  • Политика конфиденциальности
  • Условия использования

© 2026 SecureExec. Все права защищены.

Built with Rust & Next.js