文章总结： 作者通过分析服务器认证日志发现异常登录模式，结合Web日志还原出攻击者先进行Web探测再成功SSH登录的内网入侵过程。文章强调安全分析中容易被忽略的正常行为往往暗藏风险，并介绍使用GPTImage2生成可视化溯源图来清晰展示攻击链路的方法，提出将技术分析结果转化为易懂呈现形式的重要性。 综合评分： 78 文章分类： 应急响应,威胁情报,安全意识,实战经验,安全运营

明明只是几条登录日志，却揪出了内网入侵：我是怎么用 GPT Image 2 还原全过程的

原创

Luistin Luistin

OnePanda-Sec

2026年4月23日 14:00 浙江

在小说阅读器读本章

去阅读

招新

OnePanda-Sec

-招新说明-

**招新要求

· 热爱网络安全，喜欢CTF

· 拥有CTF比赛经验，有较好比赛成绩的

· 乐于奉献、热爱分享，愿意提升   自己同时帮助他人

· 时间允许参加各类赛事，服从战队管理与安排

· 各类比赛获奖者、能力出众者视情况考量

· 未参与其他高校联队

· 大一同学视情况放宽资历要求**

联系方式

发送简历于邮箱

· 简历邮箱：[email protected]

日常在服务器上翻日志，顺手看了一眼/var/log/auth.log。本来只是想确认最近有没有异常登录，结果扫到几条记录的时候，感觉有点不太对劲。

不是那种很明显的暴力破解，而是零零散散几条失败记录，中间夹着一条成功登录。单看其实很正常，但时间点卡得很奇怪，而且来源 IP 不在一个网段。

当时的第一反应不是“被打了”，而是有点像——有人在试。

我就把那段时间的日志单独拉出来，按时间排了一下。越看越不舒服：有几个 IP 虽然出现次数不多，但一旦出现，就很容易伴随一次成功登录。

这种情况基本可以确定一件事——对方不是扫，是在用。

接下来就开始补上下文了。

我把 Web 日志也翻了一遍，对了一下时间线。果然，在 SSH 登录成功之前几分钟，有一段请求挺“干净”的，没有明显 payload，但访问路径很偏，还带参数。单独看没问题，但和 SSH 登录一对上，味道就出来了。

 整个过程大概是这样的：

攻击者先从 Web 接口做探测，拿到了一些信息，然后转头去试 SSH，最后成功登进来。

说实话，这种分析过程对我来说不算难，但有个问题很现实——这些东西很难讲清楚。

你要是直接把日志贴出来：

Jul 21 14:22:31 server sshd[1234]: Failed password for admin from 103.x.x.xJul 21 14:23:02 server sshd[1238]: Accepted password for admin from 45.x.x.x

别人看了基本就是：  “嗯，好像有点问题，但具体发生了什么？”

后来我换了个思路。

我没再去整理表格，也没手动画图，而是把我脑子里的那条链路描述了一遍，并用 GPT Image 2 去生成一张溯源图。

它不是那种花里胡哨的图，而是很接近真实分析界面的那种感觉：日志在一边，关系图在一边，中间把关键行为连起来。它把原本只能在脑子里理解的东西，直接变成了别人一眼能看懂的东西。

回头看这次，其实技术上没多复杂。很多入侵不是藏得深，而是看起来太正常。有时候你不缺分析能力，你只是缺一个能把结果讲清楚的方式

#

OnePandaSec团队交流群，欢迎网络安全爱好者加入

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnePanda-Sec Luistin Luistin《明明只是几条登录日志，却揪出了内网入侵：我是怎么用 GPT Image 2 还原全过程的》